Terça-feira, 21 de Agosto de 2007
Servidor caseiro - XXVII
Já vimos que a gestão do nosso servidor de correio electrónico com vários domínios se tornou bastante mais fácil, depois da instalação do vpopmail.No entanto, esta configuração pode tornar-se ainda mais fácil se instalarmos um pacote de software que permite que se efectue a gestão de contas de correio, aliases, reencaminhamentos (forward) e listas de distribuição de forma ainda mais fácil, e sem ser necessário recorrer à linha de comando.
Este software foi criado pela mesma equipa que criou o vpopmail, e foi precisamente a pensar na interacção com o vpopmail que se desenhou o sistema de gestão.
Uma vez que este sistema funciona através da web, é necessário ter instalado e a funcionar um servidor web; assumimos que está instalado o servidor conforme o descrito em capítulos anteriores. A instalação do qmailadmin é relativamente simples.
Mas antes...
Uma funcionalidade indispensável em sistemas de webmail é a possibilidade de, em determinadas circunstâncias, poder enviar respostas automáticas associadas à chegada de mensagens de correio electrónico. A utilização típica desta funcionalidade é em alturas de férias, de forma a notificar os emissores de mensagens que chegam à nossa caixa de correio da nossa situação actual. Vou acompanhar a instalação de um dos vários sistemas de respostas automáticas, que será posteriormente integrado no meu sistema de webmail.
O qmail-autorseponder, necessita das bglibs instaladas:
# make
# install
# ldconfig
O qmail-autoresponder
# make
# cp qmail-autoresponder /usr/local/bin/autoresponder
O qmailadmin:
# ./configure --without-authpwd --without-authshadow --without-authpam --without-authldap --without-authdaemon --enable-unicode --enable-imageurl=/icons --without-fcgi --enable-https=auto --enable-autopurge=7 --prefix=/home/www/webmail --enable-maxpurge=30 --enable-mimetypes=/usr/local/httpd/conf/m
# make
# make install-strip
E está em http://planetgeek.dynip.sapo.pt/cgi-bin/q
A password para entrar é a que escolhi quando instalei o domínio com o vpopmail.
Uma vez dentro do qmailadmin, é tudo extremamente intuitivo
Enough for today...
Uma vez dentro do qmailadmin, é tudo extremamente intuitivo
Enough for today...
tags: linux
Servidor caseiro - XXVI
Neste artigo vou demonstrar a instalação de software que permite a criação e utilização de mailing lists, vulgarmente conhecidas como listas de distribuição de correio. Adicionalmente, instalarei uma modificação a este software que permite gerar arquivos das listas com os seus respectivos índices e disponibilizá-los através de páginas web.O software que vou aqui utilizar para implementar mailing lists é o ezmlm (EaZy Mailing List Manager).
O ezmlm foi criado pelo autor do qmail, tendo em vista funcionar com este.
Do mesmo modo que o qmail, também o ezmlm é constituído não por uma peça monolítica de software, mas por vários pequenos programas que interagem entre si.
O ezmlm é muito fácil de instalar e de configurar e mais fácil ainda é com ele criar uma mailing list. A lista de features do ezmlm não tem fim. A versão que vou aqui instalar inclui um add-on denominado ezmlm-idx escrito por Frederik Lindberg, que permite o threading de mensagens, criação de digests, moderação de mailing lists, etc.
Além disso, o ezmlm-idx lida com mensagens MIME.
Instalar o ezmlm:
# patch -p0 < ezmlm-0.53.errno.patch
# \cp -p -r ../ezmlm-idx-0.40/* .
# patch < idx.patch
# make
# make man
# make setup
Os binários ficam em /usr/local/bin/ezmlm
Agora, criar mailing lists à mão é uma verdadeira seca, esperem pelo próximo artigo, no qual vou falar do qmailadmin e depois tudo é mais fácil.
One hour late for the tea :(
tags: linux
Servidor caseiro - XXV
O Zope é um web application server.Por vezes, quando me perguntam o que é, tenho dificuladade em explicar.
Normalmente perguntam-me "É um servidor web ?", e respondo "não, contém um servidor web.
Como não consigo explicar muito bem, deixo aqui a definição que está na
homepage do Zope:
"Zope is an open source web application server primarily written in the Python programming language. It features a transactional object database which can store not only content and custom data, but also dynamic HTML templates, scripts, a search engine, and relational
database (RDBMS) connections and code. It features a strong through-the-web development model, allowing you to update your web site from anywhere in the world. To allow for this, Zope also features a tightly integrated security model. Built around the concept of "safe
delegation of control", Zope's security architecture also allows you to turn control over parts of a web site to other organizations or individuals. The transactional model applies not only to Zope's object database, but to many relational database connectors as well, allowing
for strong data integrity. This transaction model happens automatically, ensuring that all data is successfully stored in connected data sources by the time a response is returned to a web
browser or other client.
There are numerous products (plug-in Zope components) available for download to extend the basic set of site building tools. These products include new content objects; relational database and other external data source connectors; advanced content management tools; and full applications for e-commerce, content and document management, or bug
and issue tracking. Zope includes its own HTTP, FTP, WebDAV, and XML-RPC serving capabilities, but can also be used with the Apache or other web servers."
Resolvi usar o Zope 2 em vez do 3.
O Zope 2.4.10.4 necessita do Python 2.4 e o que vem na distribuição é o
2.4.3, pelo que vou instalá-lo em /usr/local/python-2.4.4 para não
armar confusão nos directórios dos binários, bibliotecas, includes, etc.
Instalar o Python 2.4.4:
# ./configure --prefix=/usr/local/python-2.4.4
# make
# make install
O Zope:
# ./configure --with-python=/usr/local/python-2.4.4/bi
# make
# make install
# /usr/local/zope/bin/mkzopeinstance.py
(no último passo é-lhe solicitado um directório aonde instalar a zope
instance, um login e password)
Para não correr o Zope como root, crio um grupo e um user zope:
# groupadd zope
# useradd -g zope zope
Ajustar permissões:
# cd /usr/local
# chown -R zope.zope zope-instance/
Agora edito o ficheiro /usr/local/zope-instance/etc/zope.conf e adiciono a directiva
effective-user zope
É tempo de arrancar o Zope:
# su zope -c '/usr/local/zope-instance/bin/runzope &'
(Para que o Zope arranque quando se inicia o servidor, adicionar esta linha ao ficheiro /etc/rc.local)
O Zope corre por omissão na porta 8080, pelo que o podem ver em:
http://planetgeek.dynip.sapo.pt:8080
O Zope tem ainda um servidor de FTP na porta 8021 e WebDav na 1980.
É só descomentar as linhas no ficheiro zope.conf
Para gerirem o Zope, o URL é:
http://o-url-do-vosso-zope/manage
e inserem o login e password que escolheram quando criaram a zope instance.
Good riddance :)
tags: linux
Números de telemóvel abandonados
Quando me roubaram a carteira, passado pouco tempo, começei a receber umas chamadas estranhas, daquelas que ligam e quando se atende, desligam.
Como tinha um cartão meu na carteira, pensei que talvez fosse quem ma tivesse gamado e decidi mudar de número.
Liguei para a Vodafone que me disse que podia fazer a mudança pelo telefone nessa mesma chamada e que depois dela feita, era só desligar e voltar a ligar que já ficava com o número novo.
Assim foi, fiquei espantado pela eficiência e só me custou 2,5 euros.
Ora acontece, que agora todos os dias recebo chamadas à procura de um tal de Prof. Amílcar.
Branco é galinha o põe, o Prof. Amílcar já teve o número que me foi atribuido a mim.
Pergunta de algibeira, quando um número é descontinuado não podia ser pura e simplemente riscado do mapa ?
É que porra, há 9 milhões de números de números possíveis.
tags: tecnologia
Servidor caseiro - XXIV
O FTP é um protocolo que a maioria dos utilizadores regulares desconhece já completamente.Contudo, os utilizadores mais experientes e profissionais, não dispensam esta ferramenta.
O servidor que vem incluído no CentOS é o vsFTPd (very secure TFP daemon).
Confesso que nunca experimentei, há muitos anos que utilizo o pure-ftpd, é extremamente seguro, com uma quantidade de opções de configuração enorme e, last but not the least, permite a virtualização de utilizadores o que é sempre uma good thing :)
Instalar o pure-ftpd:
Começo por criar um directório no qual vou guardar o certificado para que o servidor suporte SSL
# mkdir /etc/pure-ftpd-ssl
Crio o certificado:
# ./openssl req -x509 -nodes -newkey rsa:1024 -keyout /etc/pure-ftpd-ssl/pure-ftpd.pem -out /etc/pure-ftpd-ssl/pure-ftpd.pem
Compilar e instalar o pure-ftpd:
# ./configure --prefix=/usr/local/pure-ftpd --with-puredb --with-quotas --with-ratios --with-peruserlimits --with-largefile --with-certfile=/etc/pure-ftpd-ssl/pure-f
# make
# make install-strip
Uma breve explicação sobre as opções seleccionadas:
--with-puredb
É o que vai permitir a virtualização de utilizadores.
--with-quotas
Permite a utilização de quotas por utilizador.
--with-ratios
Permite a configuração de rácios upload/download do servidor ou por utilizador.
--with-peruserlimits
Permite definir um número máximo de ligações simultâneas ao servidor pelo mesmo IP ou por utilizador.
--with-largefile
Permite downloads superiores a 2 GB.
--with-certfile
Permite FTP sobre SSL.
Confesso que nunca percebi porque o install do pure-ftp não cria este directório, uma vez que é necessário, portanto tenho que o criar:
# cd /usr/local/pure-ftpd
# mkdir etc
Criar o utilizador virtual gamito:
# ./bin/pure-pw useradd gamito -u gamito -g gamito -d /home/gamito/ gamito
Criar a versão binária do ficheiro de logins e passwords:
# ./bin/pure-pw mkdb
Agorra, arranco o servidor:
# /usr/local/pure-ftpd/sbin/pure-ftpd -l puredb:/usr/local/pure-ftpd/etc/pureftpd.p
(Para que o servidor arranque sempre que o computador é iniciado, coloco esta linha no ficheiro /etc/rc.local)
Vou testar:
# ftp planetgeek.dynip.sapo.pt
Connected to planetgeek.dynip.sapo.pt.
220---------- Welcome to Pure-FTPd ----------
220-You are user number 1 of 50 allowed.
220-Local time is now 08:45. Server port: 21.
220-IPv6 connections are also welcome on this server.
220 You will be disconnected after 15 minutes of inactivity.
500 This security scheme is not implemented
500 This security scheme is not implemented
KERBEROS_V4 rejected as an authentication type
Name (planetgeek.dynip.sapo.pt:root): gamito
331 User gamito OK. Password required
Password:
230-User gamito has group access to: 506
230 OK. Current directory is /
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> dir
227 Entering Passive Mode (192,168,0,101,102,202)
150 Accepted data connection
-rw-r--r-- 1 0 0 7231146 Aug 21 07:29 Zope-2.10.4-final.tgz
226-Options: -l
226 1 matches total
ftp> binary
200 TYPE is now 8-bit binary
ftp> mget *.tgz
mget Zope-2.10.4-final.tgz? y
227 Entering Passive Mode (192,168,0,101,246,80)
150-Accepted data connection
150 7061.7 kbytes to download
226-File successfully transferred
226 0.376 seconds (measured here), 18.32 Mbytes per second
7231146 bytes received in 0.38 seconds (1.9e+04 Kbytes/s)
ftp> quit
E está tudo bem :)
Vou ver com um cliente de FTP:
E cá estou eu ligado, é de notar (ver círculo) que apesar de estar na verdade no directório /home/gamito, estou jailed, i. e., não posso subir na hierarquia de directórios.
O pure-ftpd é extremamente versátil, quer na configuração, quer nos parâmetros de arranque, para mais informação, visite a página oficial do projecto.
See you on Zope...
O pure-ftpd é extremamente versátil, quer na configuração, quer nos parâmetros de arranque, para mais informação, visite a página oficial do projecto.
See you on Zope...
tags: linux
Humm...
http://webstats.sapo.pt/
Os blogs agora estão a aceder a isto.
Só vi agora ou vai haver esta novidade para a major release do mês que vem ?
Só vi agora ou vai haver esta novidade para a major release do mês que vem ?
tags: internet
Segunda-feira, 20 de Agosto de 2007
Servidor caseiro - XXIII
Ora bem, vamos ver o estado da arte do servidor.Tenho instalado:
- Linux CentOS 5 com vários serviços a correr;
- Apache com suporte a SSL, PHP, PERL e Python;
- DNS;
- MySQL;
- PostgreSQL;
- Samba (servidor de ficheiros);
- OpenLDAP;
- SMTP;
- POP3;
- POP3/SSL;
- IMAP;
- IMAP/SSL;
- Anti-vírus;
- Anti-SPAM.
# free
total used free shared buffers cached
Mem: 385560 358488 27072 0 28592 171212
-/+ buffers/cache: 158684 226876
Swap: 787176 0 787176
Portanto, 2702 + 28592 + 171212 = 202506 bytes disponíveis, ou seja 385560 - 202506 = 183054 bytes ocupados de um total de 385560.
Bem bom, com tanto serviço a correr.
Claro que eu não ando aqui a vender banha da cobra como certos senhores, sei que a máquina está praticamente sem carga, mas pela experiência que tenho ainda é capaz de aguentar muito.
Então se lhe puser mais 128 MB de RAM...
Going to catch a movie...
tags: linux
Servidor caseiro - XXII
O FuzzyOCR é um plugin para o SpamAssassin que se destina a apanhar SPAM por palavras contidas em imagens nas mensagens de correio electrónico, algo que se está a tornar moda no basfond dos spammers.O FuzzyOCR necessita primeiro que seja instalado algum software antes dele próprio:
Dois módulos PERL:
String::Approx
Time::HiRes
# perl Makefile.PL && make && make install
A giflib:
# ./configure && make && make install && ldconfig
A libungif:
./configure && make && make install && ldconfig
O ocrad:
./configure && make && make install
A netpbm:
# ./configure
# make
# make package pkgdir=/usr/local/lib/netpbm
# ./installnetpbm
O gocr com suporte a netpbm:
# ./configure --prefix=/usr/local --with-netpbm=../netpbm-10.26.42
# make
# make install
O gifsicle:
# ./configure
# make
# make install
O FuzzyOCR:
# cp -p -r FuzzyOcr* /etc/mail/spamassassin/
Em /etc/mail/spamassassin, está agora um ficheiro chamado FuzzyOcr.words que contém a lista de palavras que ele procura nas imagens.
Podemos acrescentar a gosto quantas quisermos.
Convém acrescentar o PATH dos binários do netpbm ao PATH do sistema:
# export PATH=$PATH::/usr/local/netpbm/bin/
Vou agora enviar um e-mail da minha conta do GMail, sem qualquer texto, apenas com a seguinte imagem:
e verificar qual o resultado.
Chegada a mensagem, vou ver o envelope para verificar o resultado:
From - Mon Aug 20 22:37:21 2007
X-Account-Key: account6
X-UIDL: 1187645780.11464.planetgeek.dynip.sapo.p
X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
X-Mozilla-Keys:
Return-Path: <gamito@gmail.com>
Delivered-To: teste@planetgeek.dynip.sapo.pt
Received: (qmail 11461 invoked by uid 513); 20 Aug 2007 21:36:20 -0000
Received: from 209.85.128.185 by planetgeek.dynip.sapo.pt (envelope-from <gamito@gmail.com>, uid 0) with qmail-scanner-2.01
(f-prot: 4.6.7/3.16.15. spamassassin: 3.2.3.
Clear:RC:0(209.85.128.185):SA:1(8.0/5.0)
Processed in 14.989563 secs); 20 Aug 2007 21:36:20 -0000
X-Spam-Status: Yes, score=8.0 required=5.0
X-Spam-Level: ++++++++
(...)
Received: by 10.82.108.9 with SMTP id g9mr5049417buc.1187645797008;
Mon, 20 Aug 2007 14:36:37 -0700 (PDT)
Received: by 10.82.100.10 with HTTP; Mon, 20 Aug 2007 14:36:36 -0700 (PDT)
Message-ID: <91df29a20708201436lb3458a6j3c4fe5c266ba
Date: Mon, 20 Aug 2007 22:36:36 +0100
From: "=?ISO-8859-1?Q?M=E1rio_Gamito?=" <gamito@gmail.com>
To: teste@planetgeek.dynip.sapo.pt
Subject: [+++ SPAM +++] Teste FuzzyOCR
MIME-Version: 1.0
Content-Type: multipart/mixed;
(...)
Conforme se pode verificar, a mensagem apenas com a imagem foi classificada com um score de 8.0, logo é SPAM.
E pode ver-se no Thunderbird:
Cool, isnt't it ?
tags: linux
Servidor caseiro - XXI
Ainda não tinha configurado o Apache para ver se o PHP, o PERL e o Python estavam bem.Estão :)
See you lads...
tags: linux
Servidor caseiro - XX
Agora, instálo o qmail-scanner, para que as mensagens possam ser processadas pelo anti-vírus e pelo SpamAssassin.Tenho que instalar o pacote perl-suidperl e mudar-lhe o ownership e as permissões antes de instalar o qmail-scanner:
# yum install perl-suidperl
# chown root /usr/bin/suidperl
# chmod 4711 /usr/bin/suidperl
Agora o qmail-scanner:
É necessário criar um grupo e um user chamados qscand:
# groupadd qscand
# useradd -s /bin/false -g qscand qscand
A seguir:
# ./configure
Aqui, respondemos "Y":
It will then generate qmail-scanner-queue.pl - it is up to you to install it
correctly.
Continue? ([Y]/N)
Agora faz-nos outra pergunta:
virus-admin=System Anti-Virus Administrator <root@planetgeek.dynip.sapo.pt>
local-domains='planetgeek.dynip.sapo.pt'
silent-viruses='klez','bugbear','hybris'
scanners="fprot","fast_spamassassin"
If that looks correct, I will now generate qmail-scanner-queue.pl
for your system...
Continue? ([Y]/N)
Como aparece na linha a string scanners="fprot","fast_spamassassin", é sinal de que o qmail-scanner reconheceu o anti-vírus e o SpamAssassin, por isso respondo "Y".
Se não aparecer um ou outro ou os dois, é porque alguma coisa está mal. Nesse caso, é melhor responder "N" e verificar a instalação do que não aparece na linha.
De seguida,
# ./configure --install
e volto a responder "Y" às perguntas
Aqui:
Hit RETURN to create initial directory structure under /var/spool/qscan,
and install qmail-scanner-queue.pl under /var/qmail/bin:
clico simplesmente em ENTER.
Para terminar:
# ./contrib/test_installation.sh
# ./contrib/test_installation.sh -doit
Este útlimo passo, envia para o root, um e-mail com o "virus" EICAR para podermos verificar se o sistema está a funcionar, contudo, o qmail não aceita mensagens endereçadas ao root.
Para que o qmail passe a utilizar o qmail-scanner, é necessário modificar o ficheiro tcp.smtp para:
127.0.0.1:allow,RELAYCLIENT="",QMAILQUEU
127.0.0.2:allow,RELAYCLIENT="",QMAILQUEU
192.168.0.100:allow,RELAYCLIENT="",QMAIL
192.168.0.101:allow,RELAYCLIENT="",QMAIL
192.168.0.:allow,RELAYCLIENT="",QMAILQUE
:allow
e refazer o binário tcp.smtp.cdb:
# cat tcp.smtp | tcprules tcp.smtp.cdb rules.temp
O SpamAssassin é excelente, mas é um autêntico devorador de RAM, pelo que temos que alterar a run file do qmail-send e alterar o parâmetro softlimit para um valor superior, caso contrário as mensagens não passam:
#!/bin/sh
exec env - PATH="/usr/local/bin:/var/qmail/bin" \
softlimit -m 150000000 tcpserver -v -P -R -H -l 0 \
-x /var/qmail/control/tcp.smtp.cdb -u qmaild -g nofiles 0 smtp \
qmail-smtpd \
2>&1
É necessário reiniciar o qmail-send para que assuma a alteração:
# svc -t /service/qmail-send
Tudo pronto, vou enviar uma mensagem de teste:
# telnet planetgeek.dynip.sapo.pt 25
Trying 192.168.0.101...
Connected to planetgeek.dynip.sapo.pt (192.168.0.101).
Escape character is '^]'.
220 planetgeek.dynip.sapo.pt ESMTP
EHLO planetgeek.dynip.sapo.pt
250-planetgeek.dynip.sapo.pt
250-PIPELINING
250 8BITMIME
MAIL FROM: root@planetgeek.dynip.sapo.pt
250 ok
RCPT TO: teste@planetgeek.dynip.sapo.pt
250 ok
DATA
354 go ahead
Teste do qmail-scanner, SpamAssassin e f-prot
.
250 ok 1187615673 qp 360
QUIT
221 planetgeek.dynip.sapo.pt
Connection closed by foreign host.
Mudo para o directório /home/vpopmail/domains/planetgeek.dynip.s
# cd /home/vpopmail/domains/planetgeek.dynip.s
# ls
1187615674.372.planetgeek.dynip.sapo.pt,S=5
Faço agora um cat ao ficheiro para analisar o envelope da mensagem:
# cat 1187615674.372.planetgeek.dynip.sapo.pt\
Return-Path: <root@planetgeek.dynip.sapo.pt>
Delivered-To: teste@planetgeek.dynip.sapo.pt
Received: (qmail 369 invoked by uid 513); 20 Aug 2007 13:14:33 -0000
Received: from 192.168.0.101 by planetgeek.dynip.sapo.pt (envelope-from <root@planetgeek.dynip.sapo.pt>, uid 0) with qmail-scanner-2.01
(f-prot: 4.6.7/3.16.15. spamassassin: 3.2.3.
Clear:RC:1(192.168.0.101):.
Processed in 0.079826 secs); 20 Aug 2007 13:14:33 -0000
Received: from unknown (HELO planetgeek.dynip.sapo.pt) (192.168.0.101)
by 0 with SMTP; 20 Aug 2007 13:14:08 -0000
Teste do qmail-scanner, SpamAssassin e f-prot
Como se pode ver no bold, a mensagem foi analisada pelo anti-vírus e pelo f-prot.
Está tudo bem :)
Vou experimentar enviando uma mensagem a partir do exterior, através do interface webmail do GMail, da conta gamito@gmail.com para teste@planetgeek.dynip.sapo.pt.
Mensagem recebida, faço o cat do respectivo ficheiro para verificar o envelope:
# cat 1187620258.4399.planetgeek.dynip.sapo.pt\
Return-Path: <gamito@gmail.com>
Delivered-To: teste@planetgeek.dynip.sapo.pt
Received: (qmail 4397 invoked by uid 513); 20 Aug 2007 14:30:58 -0000
Received: from 209.85.128.187 by planetgeek.dynip.sapo.pt (envelope-from <gamito@gmail.com>, uid 0) with qmail-scanner-2.01
(f-prot: 4.6.7/3.16.15. spamassassin: 3.2.3.
Clear:RC:0(209.85.128.187):SA:0(0.1/5.0)
Processed in 11.372664 secs); 20 Aug 2007 14:30:58 -0000
X-Spam-Status: No, score=0.1 required=5.0
X-Spam-Level:
Received: from unknown (HELO fk-out-0910.google.com) (209.85.128.187)
by 0 with SMTP; 20 Aug 2007 14:30:45 -0000
Received: by fk-out-0910.google.com with SMTP id f40so1256164fka
for <teste@planetgeek.dynip.sapo.pt>; Mon, 20 Aug 2007 07:31:16 -0700 (PDT)
DKIM-Signature: a=rsa-sha1; c=relaxed/relaxed;
d=gmail.com; s=beta;
(...)
------=_Part_111403_22450460.11876202761
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit
Content-Disposition: inline
Teste de fora - GMail
------=_Part_111403_22450460.11876202761
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit
Content-Disposition: inline
Teste de fora - GMail
------=_Part_111403_22450460.11876202761
Também funciona, como se pode ver a bold, o SpamAssassin atribuiu um score de 0.1 valores ao mail. Por omissão, para scores iguais ou superiores a 5.0, a mensagem é marcada como sendo SPAM.
Este valor pode ser alterado, mas 5.0 é uma boa opção.
Agora envio também a partir do GMail uma mensagem da caixa do SPAM, para ver como o meu servidor a recebe.
Cat ao ficheiro:
# cat 1187620673.4450.planetgeek.dynip.sapo.pt\
Return-Path: <gamito@gmail.com>
Delivered-To: teste@planetgeek.dynip.sapo.pt
Received: (qmail 4447 invoked by uid 513); 20 Aug 2007 14:37:53 -0000
Received: from 72.14.214.235 by planetgeek.dynip.sapo.pt (envelope-from <gamito@gmail.com>, uid 0) with qmail-scanner-2.01
(f-prot: 4.6.7/3.16.15. spamassassin: 3.2.3.
Clear:RC:0(72.14.214.235):SA:1(29.0/5.0)
Processed in 12.438092 secs); 20 Aug 2007 14:37:53 -0000
X-Spam-Status: Yes, score=29.0 required=5.0
X-Spam-Level: +++++++++++++++++++++++++++++
Received: from unknown (HELO hu-out-0506.google.com) (72.14.214.235)
by 0 with SMTP; 20 Aug 2007 14:37:40 -0000
Received: by hu-out-0506.google.com with SMTP id 23so1958072huc
for <teste@planetgeek.dynip.sapo.pt>; Mon, 20 Aug 2007 07:38:11 -0700 (PDT)
DKIM-Signature: a=rsa-sha1; c=relaxed/relaxed;
d=gmail.com; s=beta;
(...)
Received: by 10.82.151.14 with SMTP id y14mr7892319bud.1187620690859;
Mon, 20 Aug 2007 07:38:10 -0700 (PDT)
Received: by 10.82.100.3 with HTTP; Mon, 20 Aug 2007 07:38:10 -0700 (PDT)
Message-ID: <91df29a20708200738n1c235ce0labf65c16e8f
Date: Mon, 20 Aug 2007 15:38:10 +0100
From: "=?ISO-8859-1?Q?M=E1rio_Gamito?=" <gamito@gmail.com>
To: teste@planetgeek.dynip.sapo.pt
Subject: [+++ SPAM +++] Cheap Pharmacy- Buy Xanax Valium Viagra and other meds cheap vd0a01
Conforme se pode ver, esta mensagem atingiu um score de 29.0, pelo que foi marcada como sendo SPAM, e o respectivo Subject ficou com a string [+++ SPAM +++] adicionada no início.
Tudo a correr sobre rodas :)
Falta testar o anti-vírus, para isso, uso o EICAR que não é um vírus, mas que foi criado para que todos os anti-vírus o identifiquem como tal.
Pode ser descarregado aqui.
Ao contrário das mensagens de SPAM, as que contêm vírus não são entregues.
São colocadas no directório /var/spool/qscan/quarantine/viruses/new
# cd /var/spool/qscan/quarantine/viruses/new
# ls
planetgeek.dynip.sapo.pt1187621338540453
Podemos fazer um cat ao ficheiro para vermos o vírus:
# cat planetgeek.dynip.sapo.pt1187621338540453
Received: from unknown (HELO ?192.168.0.100?) (192.168.0.100)
by 0 with SMTP; 20 Aug 2007 14:48:57 -0000
Message-ID: <46C9A9F4.7030700@gmail.com>
Date: Mon, 20 Aug 2007 15:49:24 +0100
From: =?ISO-8859-1?Q?M=E1rio_Gamito?= <gamito@gmail.com>
User-Agent: Thunderbird 2.0.0.6 (Windows/20070728)
MIME-Version: 1.0
To: teste@planetgeek.dynip.sapo.pt
Subject: Teste do =?ISO-8859-1?Q?anti-v=EDrus?=
Content-Type: multipart/mixed;
boundary="------------01020709030706060
This is a multi-part message in MIME format.
--------------010207090307060604020104
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: 8bit
Vírus EICAR
--
:wq! Mário Gamito
--------------010207090307060604020104
Content-Type: application/octet-stream;
name="eicar.com"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="eicar.com"
WDVPIVAlQEFQWzRcUFpYNTQoUF4pN0NDKTd9JEVJ
RVNULUZJTEUhJEgrSCo=
--------------010207090307060604020104--
*** Qmail-Scanner Quarantine Envelope Details Begin ***
X-Qmail-Scanner-Mail-From: "gamito@gmail.com" via planetgeek.dynip.sapo.pt
X-Qmail-Scanner-Rcpt-To: "teste@planetgeek.dynip.sapo.pt"
X-Qmail-Scanner: 2.01 (f-prot: 4.6.7/3.16.15. spamassassin: 3.2.3. virus Found. Processed in 2.139228 secs)
Quarantine-Description: EICAR_Test_File
*** Qmail-Scanner Envelope Details End ***
Encontrado.
Está tudo a funcionar 5* :)
Going shopping...
tags: linux
Servidor caseiro - XIX
Anti-SPAM é sinónimo de SpamAssassin, mas há outras barreiras ao SPAM.De forma a fazer face à sofisticação dos mecanismos de SPAM, um tal de Paul Vixie (bastante conhecido pelo seu envolvimento em vários sistemas e projectos da Internet desde há vários anos) resolveu criar um sistema que permitisse fazer frente a esta questão. O sistema consiste num mecanismo de teste de servidores de correio electrónico, verificando se estes estão mal configurados, isto é, se permitem a sua utilização como relays abertos; por outro lado publica de várias formas uma lista de servidores que estão dentro destas características e que é facilmente consultável.
O projecto chama-se Mail Abuse Protection System, e tem a sua face visível em http://mail-abuse.org/; é possível ver vários tipos de listas, embora tenham todas o objectivo de localizar servidores que tenham sido denunciados como origem de mensagens de SPAM ou que estejam abertos a esse tipo de práticas (através de má configuração). A consulta das várias listas é possível através deste site web, que contém adicionalmente informações sobre como resolver este problema (no caso de má configuração de servidores de correio electrónico) e uma forma de pedir a remoção do nosso servidor destas listas. A utilização deste sistema passou a requerer um pagamento prévio, o que implica que deixou de ser utilizado por toda a gente. Existem alguns outros projectos que fornecem este serviço de forma gratuita; alguns destes são o The Open Relay Database, o Open Relay Black List e o Open Relay Black Zone.
Uma outra forma de publicação destas listas, num formato mais adequado à utilização automática (i. e., sem intervenção humana) é através do sistema de DNS; esta forma de publicação permite ainda que as listas sejam propagadas para vários outros servidores, de forma a aliviar a carga a que este serviço sujeita os servidores onde está activo.
Embora o objectivo destes projectos seja o mesmo, têm aproximações diferentes à forma como permitem a interacção com os administradores de servidores marcados na lista negra, tendo também aproximações diferentes em relação aos testes e procedimentos que utilizam para validar as várias situações. Os servidores de DNS a utilizar para estas consultas são alguns dos seguintes:
relays.ordb.org
or.orbl.org
inputs.orbz.org e outputs.orbz.org
Para que possamos usufruir das vantagens destes sistemas, é necessário modificar a forma de funcionamento do nosso servidor de correio de forma a verificar se a origem das mensagens que recebemos está nestas listas negras.
As modificações a fazer não implicam compilação de uma nova versão do qmail; basta incluir no arranque do qmail-smtpd alguns parâmetros adicionais. Vamos então mudar o ficheiro de arranque do qmail-smtpd, que está em /var/qmail/supervise/qmail-smtpd/run, para o seguinte:
#!/bin/sh
env – PATH=”/usr/local/bin:/var/qmail/bin” \
QMAILQUEUE=”/var/qmail/bin/qmail-scanne
softlimit –m 5000000 tcpserver -v -P -R -H -x \
/var/qmail/control/tcp.smtp.cdb \
-u qmaild -g nofiles 0 smtp \
rblsmtpd –r relays.ordb.org \
qmail-smtpd 2>&1
É necessário reiniciar o qmail-send para assumir a alteração:
# svc -t /service/qmail-send
O SPAM que for apanhado por esta via, não chega sequer a entrar no servidor, é rejeitado logo à partida.
Instalar o SpamAssassin
Há três modos (pelo menos) de instalar o SpamAssassin.
Instalar o RPM do sistema:
# yum Install Mail-SpamAssassin
O SpamAssasssin é tanto mais eficiente quantos mais uns certos e específicos módulos PERL estiverem instalados no sistema. Infelizmente, o RPM não contém esses módulos, pelo que não é uma boa escolha.
Através do CPAN:
# perl -MCPAN -e shell
o conf prerequisites_policy ask
install Mail::SpamAssassin
quit
Isto é óptimo, como na verdade o SpamAssassin é um módulo PERL, com um único comando, instalo-o numa simples linha. Dá tempo de ir tomar um café e quando voltar estar pronto, com todas as dependências de módulos instaladas também.
Contudo, pela experiência que tenho (e já experimentei no passado por 3 ou 4 vezes), alguma coisa corre sempre mal e fico parado a meio, sem saber o que já está instalado e é a confusão total.
Instalar todos os módulos manualmente:
Dá um bocado de trabalho, mas não é tanto assim, uma vez que a forma de instalação dos módulos PERL é sempre a mesma:
# perl Makefile.PL && make && make install
Fica aqui a lista de todos os módulos PERL que o SpamAssassin suporta para uma eficiência máxima. A ordem de instalação é irrelevante, à excepção daqueles que têm depndências, estas devem ser instaladas primeiro, obviamente.
As dependências estão assinaladas por identação e o SpamAssassin, como é óbvio será o último a instalar.
É este o método que eu utilizo.
Digest::SHA1
Net::DNS
Digest::HMAC_MD5
Net::IP
Mail::SPF
Net::DNS::Resolver::Programmable
NetAddr::IP
Module::Build
Module::Signature
ExtUtils::ParseXS
ExtUtils::CBuilder
version
Archive::Tar
Pod::Readme
Pod::Text
Regexp::Common
ExtUtils::CBuilder
Mail::SPF::Query
Net::CIDR::Lite
Sys::Hostname::Long
IP::Country *
Net::Ident
IO::Socket::SSL
Net::SSLeay
Mail::DomainKeys
Crypt::OpenSSL::RSA
Mail::Address
Mail::DKIM
Digest::SHA
Error
Archive::Tar
IO::Zlib
Text::Diff
Algorithm::Diff
Encode::Detect
Mail:: Spamassassin
Saca daqui os módulos todos para não andares uma hora às apalpadelas :)
Rules du Jour:
As Rules du Jour são uma peça muito importante para um anti-SPAM eficaz. São ficheiros que contêm regras específicas para SPAM específico e que são actualizadas frequentemente.
Por exemplo, os ficheiros 20_drugs.cf e 20_porn.cf são auto-explicativos do tipo de SPAM que permitem apanhar.
Primeiro, tenho que correr este comando
# spamassassin -D --lint
Agora executo (por omissão, se não for passado o nome de nenhum outro canal, o SpamAssassin aponta para updates.spamasassin.org)
# sa-update
Agora, tenho em /etc/mail/spamassassin um directório chamado sa-update-keys
Executo lá dentro o comando
# sa-update --import pubring.gpg
para importar a chave com que os ficheiros de regras são assinados, para ter a certeza de que são os autênticos.
Agora, finalmente, importar as regras:
# sa-update --channel updates.spamassassin.org
# rm -rf /usr/share/spamassassin/*.txt
# rm -rf /usr/share/spamassassin/*.template
Por fim, coloco uma linha no crontab para ir buscar as regras todos os dias às 00:05
05 0 * * * root /usr/bin/sa-update --channel updates.spamassassin.org
No código do SpamAssassin, no directório spamd, existe um ficheiro chamado redhat-rc-script.sh que é o ctl para o programa. Copio-o para /etc/initd.d e dou-lhe as instruções para que seja iniciado no arranque do servidor e parado quando este seja desligado:
# cp spamd/redhat-rc-script.sh /etc/init.d/spamd
# cd /etc/init.d
# chkconfig --level 3 spamd on
# ./spamd start
IMPORTANTE: O SPAM não deve ser eliminado automaticamente sem que chegue às mailboxes dos utilizadores, por causa dos falsos positivos.
Se assim fosse, podia perder-se um negócio de milhões por causa de um mail mal marcado.
O que se faz é acrescentar uma string ao Subject das mensagens consideradas como SPAM e os utilizadores podem criar um filtro no seu cliente de e-mail – baseado nessa string – e enviá-lo para uma pasta de SPAM.
De vez em quando, convém dar uma olhada nessa pasta.
Para acrescentar, por exemplo, a string [+++ SPAM +++] às mensagens de SPAM, edito o ficheiro /var/qmail/bin/qmail-scanner-queue.pl e mudo a linha
my $spamc_subject='';
para
rewrite_header Subject [+++ SPAM +++]
É necessário reiniciar o SpamAssasssin para que assuma a alteração:
# /etc/init.d/spamd restart
Isto é uma instalação básica do qmail, há outros canais de regras, há o FuzzyOCR para detectar SPAM em mensagens cujo conteúdo é uma imagem, etc.
Se alguém pretender informação sobre outras coisas, é favor deixar um comentário.
O SpamAssassin está agora instalado, mas ainda não integrado com o qmail, o que quer dizer que as mensagens ainda não estão a ser processadas pelo sistema (nem pelo anti-vírus).
Para isso, é necessário instalar o qmail-scanner, que fica para o próximo artigo desta série.
Yours Sleepy...
tags: linux
Ubuntu : O Enigma
Para que conste, considero o Ubuntu uma boa distribuição Linux para desktop, provavelmente a melhor a par com o Mandriva no campo do KDE.Já experimentei as versões mais recentes das duas saber ver como é.
Contudo, há alguns aspectos no Ubuntu que me preocupam.
Já cá ando há tempo suficiente para saber que as bolhas rebentam mais cedo ou mais tarde.
Ora o Ubuntu, digamos que já se aguentou mais tempo até agora sem rebentar, o que não quer dizer que não venha a acontecer e aí, quanto maior a bolha, maior o estoiro.
Adiante...
A situação em que o Ubuntu se encontra neste momento pode dar para dois lados, ambos preocupantes:
- A bolha vai crescer durante mais algum tempo e depois, por qualquer razão (maybe the next big thing ?), rebenta.
Quem é que vai ficar a apanhar os cacos do Linux no desktop ?
É o fim do Linux nesta área; - A bolha cresce exponencialmente, não rebenta e o Ubuntu torna-se na "Microsoft do Linux".
A segunda é mais grave, a grande força do Linux e do Software Livre em geral sempre foi a variedade de escolha.
Num cenário de distribuição dominanante, inevitavelmente vão começar a surgir novidades no Ubuntu das quais os utilizadores não vão gostar.
O Ubuntu está a começar a secar as restantes distribuições desktop oriented, até o Fedora já está a implodir.
É que diga-se o que se disser, a malta que está a sério no Software Livre gosta tanto de dinheiro como o Bill Gates, same shit.
E aqui entra o bacano responsável pelo Ubuntu. Para mim, a ideia inicial dele era fazer dinheiro com o Launchpad, mas o Ubuntu cresceu tanto que se tornou maior do que o seu criador.
Por outro lado, uma posição de "monopólio" do Ubuntu no desktop (ou de outra distribuição qualquer) terá consequências no Linux do servidor.
Já estou a ver um decisor de um Banco, por exemplo, a dizer "Hum... querem instalar nos nossos servidores o mesmo sistema operativo tão bonitinho que usam nos vossos portáteis ? Não me parece..."
O Ubuntu não está vocacionado para servir (não sei como há gente com coragem para ter servidores Ubuntu em produção), a SuSE e a Red Hat reinam nos servidores através das suas variantes empresariais (Oracle, anyone ?), mas uma distribuição única orientada para desktop – que é a face visível do Linux – irá inevitavelmente repecurtir-se no Linux servidor.
Portanto, eu tenho muito gosto que o Ubuntu continue a ser um sucesso e a trazer muitas pessoas para o Linux, mas gostaria de ver algum equilíbrio com mais três ou quatro distribuições.
Volto a frisar, sem variedade de escolha, o Software Livre é inconsequente.
PS. Entretanto, saiu o Euromilhões ao GNOME, se não fosse o Ubuntu já estaria morto e enterrado.
tags: linux
Domingo, 19 de Agosto de 2007
Leixões 1 - Benfica 1
Caros Lampiões, Qual a probabilidade de um Nigeriano que veio do campeonato de Malta, marcar um golo na sua estreia contra um clube recém promovido a clube com mais sócios no mundo?
Deve ser como encontrar um trevo na tromba d'um elefante.
Ai o meu cálculo combinatório que já lá vai há tantos anos, senão calculava mesmo as probabilidades de tal acontecer, mas assim ao por alto, diria que com o Engº do Tenta e as condições acima descritas, devem ser elevadas :P
Abraços Leoninos
tags: futebol
Servidor caseiro - XVIII
Como preparação para instalar e configurar o SpamAssassin e o qmail-scanner, tenho que primeiro instalar o maildrop e o t-nef.O maildrop requer a biblioteca de desenvolvimento do pcre, pelo que tenho que a instalar:
# yum install pcre-devel
Agora o maildrop:
# ./configure && make && make install && ldconfig
e depois o t-nef (este software remove aqueles attachments estúpidos do Outlook e Outlook Express):
# ./configure && make && make install
Kind Regards...
tags: linux
Servidor caseiro - XVII
O anti-vírus que utilizo para servidores de e-mail UNIX há muitos anos é o f-prot.Não é software livre (nem as in speach nem as in beer), mas nunca me deixou passar um único vírus que fosse em servidores de produção.
Para utilização pessoal é gratuito.
É muito fácil de instalar, mas primeiro é preciso instalar três módulos PERL, cujas dependências ficam aqui assinaladas por identação:
libwww-perl
Compress::Zlib
Compress::Raw::Zlib
IO::Compress::Base
IO::Compress::Base::Common
IO::Compress::Gzip
HTML::Parser
HTML::Tagset
Para instalar o f-prot, copia-se a tarball para /usr/local e descomprime-se. Depois, executam-se os comandos:
# cd /usr/local/
# ln -fs /usr/local/f-prot/f-prot.sh bin/f-prot
# ln -fs /usr/local/f-prot/man_pages/ man/man8
# chmod +x /usr/local/f-prot/f-prot*
# ./check-updates.pl
***************************************
* F-Prot Antivirus Updater *
***************************************
There's a new version of:
"Document/Office/Macro viruses" signatures on the web.
Starting to download...
Download completed.
There's a new version of:
"Application/Script viruses and Trojans" signatures on the web.
Starting to download...
Download completed.
Preparing to install Application/Script viruses and Trojans signatures.
Application/Script viruses and Trojans signatures have successfully been installed.
Preparing to install Document/Office/Macro viruses signatures.
Document/Office/Macro viruses signatures have successfully been installed.
**********************************
* Update completed successfully. *
**********************************
Finalmente, coloca-se uma linha no crontab, para que todos os dias às 00:00 horas, seja executado o comando que faz o download das definições dos vírus.
00 * * * * root /usr/local/f-prot/tools/check-updates.pl
Quickie :)
tags: linux
Servidor caseiro - XVI
Agora que o servidor de e-mail está quase instalado (falta o anti-vírus, o SpamAssassin, o webmail e as interfaces gráficas de gestão), alguns pontos a considerar:- Não posso utilizar o SMTP porque o meu IP público do SAPO ADSL está blacklisted no spamhaus (pelo menos) e deste modo as mensagens nem entram nos servidores de destino, são rejeitadas logo à partida;
- Como o servidor está a obter IP dinâmico do meu router, sempre que é (re)inicializado, o sistema coloca o IP do DNS do mesmo no ficheiro /etc/resolv.conf
Para que quando o servidor arranque, seja utilizada a cache de DNS que instalei, coloco no ficheiro /etc/rc.local, a linha
echo "nameserver 127.0.0.1" > /etc/resolv.conf
Deste modo, como os comandos contidos neste ficheiro são os últimos a serem executados quando o sistema arranca, fico sempre no ficheiro /etc/resolv.conf com o IP da minha cache de DNS; - Para problemas com as run files do qmail, um bom método de "debugar" é executar o comando:
# ps auxwww | grep readproctitle
Vão aparecer todas as descrições dos problemas.
Claro que os logs do qmail também são uma ajuda inestimável; - Existe um script em PERL, chamado qmHandle que é excelente para gerir a queue do qmail. Saca daqui;
- Convém instalar o qmess822 do DJB para substituir o qmail-inject. Isto evita os problemas gerados por clientes de e-mail mal comportados como o (in)famous Outlook;
- Ficaram muitas coisas por explicar, onde está o software, truques, minas e alçapões, etc., mas explicar tudo levaria dias.
Se alguém estiver a seguir esta série de artigos (coisa que duvido), coloque as questões em comentários aos artigos que terei muito gosto em ajudar no que puder.
tags: linux
Servidor caseiro - XV
O software de IMAP que utilizo é o Courier-imap.O courier-imap lida (e foi criado com essa finalidade) com o formato Maildir de caixas de correio originário do qmail. Para além disso, acrescenta uma série de features como quotas por software.
Suporta um grande número de possibilidades de formatos de autenticação, desde RDBMS (MySQL, PostgreSQL) a PAM, LDAP, etc.
O que utilizei aqui é o vchkpw por causa do vpopmail.
Permite ainda a criação de shared folders entre grupos de contas e tem suporte a IMAP sobre SSL.
O Courier-imap, a certo ponto do seu desenvolvimento, foi dividido entre dois ficheiros de código, o courier-authlib que contém as bibliotecas de autenticação e um servidor de autenticação e o courier-imap que é o servidor de IMAP propriamente dito.
O courier-authlib tem um bug que faz abortar a compilação em GCC ≥ 4 se se escolher o authvchkpw como método de autenticação, mas como sou *cough* boa pessoa *cough*, deixo aqui um pequeno patch que escrevi para resolver o problema (os tracinhos não contam :P):
----------------------------------------
--- courier-authlib-0.59.3/authvchkpw.c 2007-08-19 07:23:30.000000000 +0200
+++ courier-authlib-0.59.3b/authvchkpw.c
@@ -55,16 +55,19 @@
return (*i->callback_func)(a, i->callback_arg);
}
#if HAVE_HMACLIB
#include "libhmac/hmac.h"
#include "cramlib.h"
+static int auth_vchkpw_login(const char *service, char *authdata,
+ int (*callback_func)(struct authinfo *, void *), void *callback_arg);
+
static int auth_vchkpw_cram(const char *service,
const char *authtype, char *authdata,
int (*callback_func)(struct authinfo *, void *),
void *callback_arg)
{
struct cram_callback_info cci;
----------------------------------------
Crio um ficheiro chamado por exemplo vchkpw-courier-auth.patch e executo:
# patch -p1 < vchkpw-courier-auth.patch
patching file authvchkpw.c
Hunk #1 succeeded at 55 with fuzz 1.
Os dois ficheiros de código do Courier-imap instalam-se do mesmo modo:
# cd /home/vpopmail/courier-authlib-0.59.3
# export CPPFLAGS="-I/usr/local/ssl/include"
# export LDFLAGS="-L/usr/local/ssl/lib"
#./configure --without-ipv6 --enable-unicode --enable-workarounds-for-imap-client-bug
# make
# su root
# make install-strip
# make install-configure
Repetir para courier-imap-4.1.3
Copio os ficheiros de arranque do IMAP e do IMAP/SSL para /etc/init.d
# cd /usr/lib/courier-imap/libexec
# cp imapd.rc /etc/init.d/imapd
# cp imapd-ssl.rc /etc/init.d/imapd-ssl
Como o chkconfig não reconhece estes ficheiros ctl como válidos, tenho que fazer o trabalho à mão para que os dois serviços arranquem automaticamente quando o servidor for ligado (se tiver interface gráfica, tem que repetir a operação para o directório /etc/rc5.d):
# cd /etc/rc3.d
# ln -s ../init.d/imapd S99imapd
# ln -s ../init.d/imapd-ssl S99imapd-ssl
Tenho que copiar o certificado que criei antes para o POP3/SSL para o sítio certo no Courier-imap (o mesmo certificado serve):
# cp /usr/local/ssl/bin/imapd.pem /usr/lib/courier-imap/share/
Agora, antes de mais, é necessário correr o authdaemon do Courier-imap (o servidor authdaemon necessita de estar permanentemente a correr. Para que ele arranque quando se inicia o servidor, colocar no ficheiro /etc/rc.local a linha /usr/local/sbin/authdaemond start):
# /usr/local/sbin/authdaemond start
É altura de ter uma conversa com o IMAP e o IMAP/SSL para verificar se está tudo ok:
IMAP:
# telnet planetgeek.dynip.sapo.pt 143
Trying 192.168.0.101...
Connected to planetgeek.dynip.sapo.pt (192.168.0.101).
Escape character is '^]'.
* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE ACL ACL2=UNION STARTTLS] Courier-IMAP ready. Copyright 1998-2005 Double Precision, Inc. See COPYING for distribution information.
O login teste@planetgeek.dynip.sapo.pt segredo
O OK LOGIN Ok.
O LOGOUT
* BYE Courier-IMAP server shutting down
O OK LOGOUT completed
Connection closed by foreign host.
IMAP/SSL:
# openssl s_client -connect planetgeek.dynip.sapo.pt:993
CONNECTED(00000003)
depth=0 /C=pt/ST=Aveiro/L=Ilhavo/O=Home/OU=Devel/C
verify error:num=18:self signed certificate
verify return:1
depth=0 /C=pt/ST=Aveiro/L=Ilhavo/O=Home/OU=Devel/C
verify return:1
---
Certificate chain
0 s:/C=pt/ST=Aveiro/L=Ilhavo/O=Home/OU=Dev
i:/C=pt/ST=Aveiro/L=Ilhavo/O=Home/OU=Dev
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIDzjCCAzegAwIBAgIJAJa6WcKI1VROMA0GCSqG
VQQGEwJwdDEPMA0GA1UECBMGQXZlaXJvMQ8wDQYD
BAoTBEhvbWUxDjAMBgNVBAsTBURldmVsMSEwHwYD
bmlwLnNhcG8ucHQxLjAsBgkqhkiG9w0BCQEWH2dh
bmlwLnNhcG8ucHQwHhcNMDcwODE4MjMwOTQwWhcN
MAkGA1UEBhMCcHQxDzANBgNVBAgTBkF2ZWlybzEP
CwYDVQQKEwRIb21lMQ4wDAYDVQQLEwVEZXZlbDEh
ay5keW5pcC5zYXBvLnB0MS4wLAYJKoZIhvcNAQkB
ay5keW5pcC5zYXBvLnB0MIGfMA0GCSqGSIb3DQEB
W0wJZScNQV0fCisBLRakDJWTioXgb5Kzr333ZsF/X
zHWTHyDBhQDQ5L4yoNeitmAXCfO129wDtw7qLlOm
ELyIQ/xCANGTcRvjKmIrA3WkvbAgkeMg0SjCFQID
BBYEFJVvEdEfiVb36m31qTJIpIPLlwQjMIHWBgNV
6m31qTJIpIPLlwQjoYGnpIGkMIGhMQswCQYDVQQG
aXJvMQ8wDQYDVQQHEwZJbGhhdm8xDTALBgNVBAoT
dmVsMSEwHwYDVQQDExhwbGFuZXRnZWVrLmR5bmlw
9w0BCQEWH2dhbWl0b0BwbGFuZXRnZWVrLmR5bmlw
TjAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUA
jobvnczZNrA63ygoiSFbBDBtsq+UZOcaKBG1L9z1
kANdRLqXy5Y0+/M9htFAiLWQGjbjqnNPrsZ531UB
d4KZwVEG3jpXFZ2GVRPBcGya
-----END CERTIFICATE-----
subject=/C=pt/ST=Aveiro/L=Ilhavo/O=Home/O
issuer=/C=pt/ST=Aveiro/L=Ilhavo/O=Home/O
---
No client certificate CA names sent
---
SSL handshake has read 1140 bytes and written 340 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID: 984513454D9DB81F0324D7983AF78C69649A8281
Session-ID-ctx:
Master-Key: 82B0478015DB6B5BFB4F8F2F1D750BEC5CDE11A7
Key-Arg : None
Krb5 Principal: None
Start Time: 1187523291
Timeout : 300 (sec)
Verify return code: 18 (self signed certificate)
---
* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE AUTH=PLAIN ACL ACL2=UNION] Courier-IMAP ready. Copyright 1998-2005 Double Precision, Inc. See COPYING for distribution information.
O login teste@planetgeek.dynip.sapo.pt segredo
O OK LOGIN Ok.
O LOGOUT
* BYE Courier-IMAP server shutting down
O OK LOGOUT completed
closed
Kwel :)
tags: linux
Servidor caseiro - XIV
Virtualizar utilizadores é sempre uma good thing (TM).O vpopmail é um software que permite a virtualização de utilizadores para o qmail e é muito fácil de instalar.
- Instalação do vpopmail
# ./configure --enable-qmaildir=/var/qmail --enable-qmail-newu=/var/qmail/bin/qmail-newu --enable-qmail-inject=/var/qmail/bin/qma il-inject --enable-qmail-newmrh=/var/qmail/bin/qma il-newmrh --enable-vpopuser=vpopmail --enable-vpopgroup=vchkpw --enable-roaming-users=n --enable-tcprules-prog=/usr/local/bin/tc prules --enable-tcpserver-file=/var/qmail/contr ol/tcp.smtp --enable-logging=v --enable-md5-passwords=y --enable-log-name=vpopmail --enable-auth-module=cdb --enable-qmail-ext=y --enable-ip-alias-domains=n --enable-passwd=n --enable-learn-passwords=y --enable-auth-logging=y
# make
# make install-strip
Criar um domínio e um utilizador:
# ./vadddomain planetgeek.dynip.sapo.pt
Please enter password for postmaster:
enter password again:
# ./vadduser teste@planetgeek.dynip.sapo.pt
Please enter password for user:
enter password again:
Em lugar disso, dentro do directório /home/vpopmail, foi criado um planetgeek.dynip.sapo.pt (relativo ao domínio) e dentro desse um "teste" com a Maildir.
A run file do qmail-popup, teve que ser alterada, pois já não é o checkpassword que faz a autenticação, mas o vchkpw.
Assim, a run file do qmail-popup, passa a:
#!/bin/sh
exec env - PATH="/usr/local/bin:/home/vpopmail/bin:
tcpserver -v -l 0 -R 0 pop3 \
qmail-popup planetgeek.dynip.sapo.pt \
vchkpw \
qmail-pop3d Maildir \
2>&1
Também tive que alterar uma linha no stunnel.conf, para que o POP3/SSL possa funcionar neste novo esquema, deste modo, a linha
execargs = qmail-popup 0 /usr/local/bin/checkpassword /var/qmail/bin/qmail-pop3d Maildir
passa a
execargs = qmail-popup 0 /home/vpopmail/bin/vchkpw /var/qmail/bin/qmail-pop3d Maildir
Vou verificar se o POP3 e o POP3/SSL continuam a funcionar neste novo esquema.
- Envio de mensagem de teste
# telnet planetgeek.dynip.sapo.pt 25
Trying 192.168.0.101...
Connected to planetgeek.dynip.sapo.pt (192.168.0.101).
Escape character is '^]'.
220 planetgeek.dynip.sapo.pt ESMTP
EHLO planetgeek.dynip.sapo.pt
250-planetgeek.dynip.sapo.pt
250-PIPELINING
250 8BITMIME
MAIL FROM: root@planetgeek.dynip.sapo.pt
250 ok
RCPT TO: teste@planetgeek.dynip.sapo.pt
250 ok
DATA
354 go ahead
Teste do vpopmail
.
250 ok 1187510342 qp 2362
QUIT
221 planetgeek.dynip.sapo.pt
Connection closed by foreign host.
# cd /home/vpopmail/domains/planetgeek.dynip.s
# ll
total 4
-rw------- 1 vpopmail vchkpw 293 Aug 19 08:59 1187510343.2366.planetgeek.dynip.sapo.pt,S=2
# cat 1187510343.2366.planetgeek.dynip.sapo.pt\
Return-Path: <root@planetgeek.dynip.sapo.pt>
Delivered-To: teste@planetgeek.dynip.sapo.pt
Received: (qmail 2362 invoked by uid 0); 19 Aug 2007 07:58:53 -0000
Received: from unknown (HELO planetgeek.dynip.sapo.pt) (192.168.0.101)
by 0 with SMTP; 19 Aug 2007 07:58:53 -0000
Teste do vpopmail
Conclui-se que a mensagem chegou ao sítio certo.
Vou testar agora os daemons (note-se que o login tem que conter agora também a parte do domínio, ou seja o endereço de e-mail completo):
- POP3
# telnet planetgeek.dynip.sapo.pt 110
Trying 192.168.0.101...
Connected to planetgeek.dynip.sapo.pt (192.168.0.101).
Escape character is '^]'.
+OK <2384.1187510433@planetgeek.dynip.sapo.pt>
user teste@planetgeek.dynip.sapo.pt
+OK
pass segredo
+OK
stat
+OK 1 293
list
+OK
1 293
.
retr 1
+OK
Return-Path: <root@planetgeek.dynip.sapo.pt>
Delivered-To: teste@planetgeek.dynip.sapo.pt
Received: (qmail 2362 invoked by uid 0); 19 Aug 2007 07:58:53 -0000
Received: from unknown (HELO planetgeek.dynip.sapo.pt) (192.168.0.101)
by 0 with SMTP; 19 Aug 2007 07:58:53 -0000
Teste do vpopmail
.
quit
+OK
Connection closed by foreign host. - POP3/SSL
# openssl s_client -connect planetgeek.dynip.sapo.pt:995
CONNECTED(00000003)
depth=0 /C=pt/ST=Aveiro/L=Ilhavo/O=Home/OU=Devel/CN=planetgeek.dynip.sapo.pt/emailAddress=t este@planetgeek.dynip.sapo.pt
verify error:num=18:self signed certificate
verify return:1
depth=0 /C=pt/ST=Aveiro/L=Ilhavo/O=Home/OU=Devel/CN=planetgeek.dynip.sapo.pt/emailAddress=t este@planetgeek.dynip.sapo.pt
verify return:1
---
Certificate chain
0 s:/C=pt/ST=Aveiro/L=Ilhavo/O=Home/OU=Devel/CN=planetgeek.dynip.sapo.pt/emailAddr ess=teste@planetgeek.dynip.sapo.pt
i:/C=pt/ST=Aveiro/L=Ilhavo/O=Home/OU=Devel/CN=planetgeek.dynip.sapo.pt/emailAddr ess=teste@planetgeek.dynip.sapo.pt
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=pt/ST=Aveiro/L=Ilhavo/O=Home/OU=Devel/CN=planetgeek.dynip.sapo.pt/emai lAddress=teste@planetgeek.dynip.sapo.pt
issuer=/C=pt/ST=Aveiro/L=Ilhavo/O=Home/OU=Devel/CN=planetgeek.dynip.sapo.pt/emai lAddress=teste@planetgeek.dynip.sapo.pt
---
No client certificate CA names sent
---
SSL handshake has read 1140 bytes and written 340 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID: AD21D1919EBA3E621AE33FE42E6F585EC5D82DFC4AC8B5E1EA23F9AB70708A5F
Session-ID-ctx:
Master-Key: 0FEB364425D36C8DB10EE32D0EF8FABDC2CC4F6281DF63BC46352C53987CE59CDC8E42CAA95FDA04 58204B8CC8C8BEBE
Key-Arg : None
Start Time: 1187510526
Timeout : 300 (sec)
Verify return code: 18 (self signed certificate)
---
+OK <2398.1187510526@0>
user teste@planetgeek.dynip.sapo.pt
+OK
pass segredo
+OK
stat
+OK 1 293
retr 1
+OK
Return-Path: <root@planetgeek.dynip.sapo.pt>
Delivered-To: teste@planetgeek.dynip.sapo.pt
Received: (qmail 2362 invoked by uid 0); 19 Aug 2007 07:58:53 -0000
Received: from unknown (HELO planetgeek.dynip.sapo.pt) (192.168.0.101)
by 0 with SMTP; 19 Aug 2007 07:58:53 -0000
Teste do vpopmail
.
quit
+OK
closed
tags: linux
Servidor caseiro - XIII
O qmail funciona com run files. Aqui ficam as que estou a usar (discutíveis, claro):- qmail-send:
#!/bin/sh
exec env - PATH="/var/qmail/bin:$PATH" \
qmail-start ./Maildir/ - qmail-smtpd
#!/bin/sh
exec env - PATH="/usr/local/bin:/var/qmail/bin" \
softlimit -m 5000000 tcpserver -v -P -R -H -l 0 \
-x /var/qmail/control/tcp.smtp.cdb -u qmaild -g nofiles 0 smtp \
qmail-smtpd \
2>&1 - qmail-popup
#!/bin/sh
exec env - PATH="/usr/local/bin:/var/qmail/bin" \
tcpserver -v -l 0 -R 0 pop3 \
qmail-popup planetgeek.dynip.sapo.pt \
checkpassword \
qmail-pop3d Maildir \
2>&1 - qmail-popups
#!/bin/sh
exec env - PATH="/usr/local/bin:/usr/local/sbin" \
tcpserver -v -R -H -l 0 0 995 \
stunnel /usr/local/etc/stunnel/stunnel.conf \
2>&1 - logs
As run files dos logs são todas iguais, só muda o nome do serviço, fica aqui a do qmail-send como exemplo:
#!/bin/sh
env - PATH="/usr/local/bin" \
setuidgid qmaill multilog t s2500000 /var/log/qmail/qmail-send \
2>&1
tags: linux
Servidor caseiro - XII
POP3 over SSL, importante isto, as pessoas deviam habituar-se a utilizarem comunicações seguras nos seus e-mails, embora a maioria das vezes os responsáveis sejam os administradores de sistemas que ou não estão sensibilizados para a questão ou são incompetentes.Há vários modos de implementar POP3/SSL em qmail, as mais das vezes, recorrendo a patches.
Eu prefiro utilizar o stunnel.
O stunnel é um software que permite cifrar ligações TCP/IP sobre SSL sem ser necessário mexer no código dos daemons, nest caso o qmail-popup.
Na prática, o que vai acontecer é o estabelecimento de um túnel SSL entre o cliente de correio electrónico e o servidor. Dentro deste túnel SSL, vão passar os comandos normais do POP3 que o stunnel encaminha para o qmail-popup. Assim, a comunicação que passa na rede é segura.
Primeiro, é necessário criar uma chave SSL para o servidor:
# ./openssl req -new -x509 -days 365 -nodes -out imapd.pem -keyout imapd.pem || cleanup
# ./openssl gendh >> imapd.pem || cleanout
# ./openssl x509 -subject -dates -fingerprint -noout -in imapd.pem || cleanup
De seguida, instalar e configurar o stunnel (na instalação, são-me pedidos os dados para a criação de um certificado, mas é irrelevante, pois vai ser substituído pelo criado acima):
# ./configure --with-ssl=/usr/local/ssl
# make
# make install
# cp /usr/local/ssl/bin/imapd.pem /usr/local/etc/stunnel/stunnel.pem
# cd /usr/local/etc/stunnel/
# cp stunnel.conf-sample stunnel.conf
O ficheiro stunnel.conf deve ficar exactamente assim:
; Sample stunnel configuration file by Michal Trojnara 2002-2006
; Some options used here may not be adequate for your particular configuration
; Please make sure you understand them (especially the effect of chroot jail)
; Certificate/key is needed in server mode and optional in client mode
cert = /usr/local/etc/stunnel/stunnel.pem
;key = /usr/local/etc/stunnel/mail.pem
; Protocol version (all, SSLv2, SSLv3, TLSv1)
sslVersion = all
; Some security enhancements for UNIX systems - comment them out on Win32
#chroot = /usr/local/var/lib/stunnel/
#setuid = nobody
#setgid = nobody
; PID is created inside chroot jail
pid = /tmp/stunnel.pid
; Some performance tunings
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
;compression = rle
; Workaround for Eudora bug
;options = DONT_INSERT_EMPTY_FRAGMENTS
; Authentication stuff
;verify = 2
; Don't forget to c_rehash CApath
; CApath is located inside chroot jail
;CApath = /certs
; It's often easier to use CAfile
;CAfile = /usr/local/etc/stunnel/certs.pem
; Don't forget to c_rehash CRLpath
; CRLpath is located inside chroot jail
;CRLpath = /crls
; Alternatively you can use CRLfile
;CRLfile = /usr/local/etc/stunnel/crls.pem
; Some debugging stuff useful for troubleshooting
debug = 7
output = stunnel.log
exec = /var/qmail/bin/qmail-popup
execargs = qmail-popup 0 /usr/local/bin/checkpassword /var/qmail/bin/qmail-pop3d Maildir
transparent = yes
local = 192.168.0.101
; Use it for client mode
client = no
; Service-level configuration
#[pop3s]
#accept = 995
#connect = 110
#[imaps]
#accept = 993
#connect = 143
#[ssmtp]
#accept = 465
#connect = 25
;[https]
#;accept = 443
#;connect = 80
#;TIMEOUTclose = 0
; vim:ft=dosini
É necessário criar uma run file nova para o POP3/SSL:
#!/bin/sh
env - PATH="/usr/local/bin" \
setuidgid qmaill multilog t s2500000 /var/log/qmail/qmail-popups \
2>&1
Envio um e-mail primeiro:
# telnet planetgeek.dynip.sapo.pt 25
Trying 192.168.0.101...
Connected to planetgeek.dynip.sapo.pt (192.168.0.101).
Escape character is '^]'.
220 planetgeek.dynip.sapo.pt ESMTP
EHLO planetgeek.dynip.sapo.pt
250-planetgeek.dynip.sapo.pt
250-PIPELINING
250 8BITMIME
MAIL FROM: root@planetgeek.dynip.sapo.pt
250 ok
RCPT TO: teste@planetgeek.dynip.sapo.pt
250 ok
DATA
354 go ahead
Teste do POP3/SSL
.
250 ok 1187479718 qp 8456
QUIT
221 planetgeek.dynip.sapo.pt
Connection closed by foreign host.
Agora testo com o openssl (a porta do POP3/SSL é a 995):
# /usr/local/ssl/bin/openssl s_client -connect planetgeek.dynip.sapo.pt:995
CONNECTED(00000003)
depth=0 /C=pt/ST=Aveiro/L=Ilhavo/O=Home/OU=Devel/C
verify error:num=18:self signed certificate
verify return:1
depth=0 /C=pt/ST=Aveiro/L=Ilhavo/O=Home/OU=Devel/C
verify return:1
---
Certificate chain
0 s:/C=pt/ST=Aveiro/L=Ilhavo/O=Home/OU=Dev
i:/C=pt/ST=Aveiro/L=Ilhavo/O=Home/OU=Dev
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIDzjCCAzegAwIBAgIJAJa6WcKI1VROMA0GCSqG
VQQGEwJwdDEPMA0GA1UECBMGQXZlaXJvMQ8wDQYD
BAoTBEhvbWUxDjAMBgNVBAsTBURldmVsMSEwHwYD
bmlwLnNhcG8ucHQxLjAsBgkqhkiG9w0BCQEWH2dh
bmlwLnNhcG8ucHQwHhcNMDcwODE4MjMwOTQwWhcN
MAkGA1UEBhMCcHQxDzANBgNVBAgTBkF2ZWlybzEP
CwYDVQQKEwRIb21lMQ4wDAYDVQQLEwVEZXZlbDEh
ay5keW5pcC5zYXBvLnB0MS4wLAYJKoZIhvcNAQkB
ay5keW5pcC5zYXBvLnB0MIGfMA0GCSqGSIb3DQEB
W0wJZScNQV0fCisBLRakDJWTioXgb5Kzr333ZsF/X
zHWTHyDBhQDQ5L4yoNeitmAXCfO129wDtw7qLlOm
ELyIQ/xCANGTcRvjKmIrA3WkvbAgkeMg0SjCFQID
BBYEFJVvEdEfiVb36m31qTJIpIPLlwQjMIHWBgNV
6m31qTJIpIPLlwQjoYGnpIGkMIGhMQswCQYDVQQG
aXJvMQ8wDQYDVQQHEwZJbGhhdm8xDTALBgNVBAoT
dmVsMSEwHwYDVQQDExhwbGFuZXRnZWVrLmR5bmlw
9w0BCQEWH2dhbWl0b0BwbGFuZXRnZWVrLmR5bmlw
TjAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUA
jobvnczZNrA63ygoiSFbBDBtsq+UZOcaKBG1L9z1
kANdRLqXy5Y0+/M9htFAiLWQGjbjqnNPrsZ531UB
d4KZwVEG3jpXFZ2GVRPBcGya
-----END CERTIFICATE-----
subject=/C=pt/ST=Aveiro/L=Ilhavo/O=Home/O
issuer=/C=pt/ST=Aveiro/L=Ilhavo/O=Home/O
---
No client certificate CA names sent
---
SSL handshake has read 1140 bytes and written 340 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID: 7466A4FF1DCCEB905D40DDD0DE27F5162B82192A
Session-ID-ctx:
Master-Key: 2F48EBCFC4134C96571D61598A38AF35B31A6A1C
Key-Arg : None
Start Time: 1187480851
Timeout : 300 (sec)
Verify return code: 18 (self signed certificate)
---
+OK <8539.1187480851@0>
user teste
+OK
pass segredo
+OK
stat
+OK 1 293
list
+OK
1 293
.
retr 1
+OK
Return-Path: <root@planetgeek.dynip.sapo.pt>
Delivered-To: teste@planetgeek.dynip.sapo.pt
Received: (qmail 8456 invoked by uid 0); 18 Aug 2007 23:28:22 -0000
Received: from unknown (HELO planetgeek.dynip.sapo.pt) (192.168.0.101)
by 0 with SMTP; 18 Aug 2007 23:28:22 -0000
Teste do POP3/SSL
.
dele 1
+OK
quit
+OK
closed
Funga :)
Until next...
tags: linux
Sábado, 18 de Agosto de 2007
Servidor caseiro - XI
O qmail já funga :)É pá, desculpem lá, mas isto não dá para explicar aqui, só me levantava da cadeira daqui a uma semana.
Quem quiser saber como se instala e gere, pode comprar este excelente livro, escrito por uns tais de Mário teste e Ricardo Oliveira.
Os bacanos agradecem, pois recebem 1,25 € por cada exemplar vendido :)
O livro tem algumas coisas desactualizadas porque há software que já mudou a forma de instalar/configurar, mas eu tenho aqui um exemplar todo anotado e terei todo o prazer em ajudar.
Ora bem, vamos ver, isto é o básico, a seguir vem POP3/SSL, IMAP, IMAP/SSL:
- SMTP
# telnet planetgeek.dynip.sapo.pt 25
Trying 192.168.0.101...
Connected to planetgeek.dynip.sapo.pt (192.168.0.101).
Escape character is '^]'.
220 planetgeek.dynip.sapo.pt ESMTP
EHLO planetgeek.dynip.sapo.pt
250-planetgeek.dynip.sapo.pt
250-PIPELINING
250 8BITMIME
MAIL FROM: root@planetgeek.dynip.sapo.pt
250 ok
RCPT TO: teste@planetgeek.dynip.sapo.pt
250 ok
DATA
354 go ahead
Subject: Teste do qmail
qmail rulez...
.
250 ok 1187477575 qp 2344
QUIT
221 planetgeek.dynip.sapo.pt
Connection closed by foreign host. - POP3
# telnet planetgeek.dynip.sapo.pt 110
Trying 192.168.0.101...
Connected to planetgeek.dynip.sapo.pt (192.168.0.101).
Escape character is '^]'.
+OK <2351.1187477582@planetgeek.dynip.sapo.pt>
user teste
+OK
pass segredo
+OK
stat
+OK 1 314
list
+OK
1 314
.
retr 1
+OK
Return-Path: <root@planetgeek.dynip.sapo.pt>
Delivered-To: teste@planetgeek.dynip.sapo.pt
Received: (qmail 2344 invoked by uid 0); 18 Aug 2007 22:52:42 -0000
Received: from unknown (HELO planetgeek.dynip.sapo.pt) (192.168.0.101)
by 0 with SMTP; 18 Aug 2007 22:52:42 -0000
Subject: Teste do qmail
qmail rulez...
.
dele 1
+OK
quit
+OK
Connection closed by foreign host.
tags: linux
Servidor caseiro - X
Enquanto ando de volta do qmail, já podem dar uma espreitadela ao Apache, pois já abri a porta 80 e a 443 ao exterior:Pode ver-se que está tudo bem com o HTTP:
# telnet planetgeek.dynip.sapo.pt 80
Trying 192.168.0.101...
Connected to planetgeek.dynip.sapo.pt (192.168.0.101).
Escape character is '^]'.
GET /
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xht
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Apache by Mário teste</title>
<style type="text/css">
<!--
.style1 {
font-family: Verdana, Arial, Helvetica, sans-serif;
font-size: 12px;
}
-->
</style>
</head>
<body>
<div align="center">
<p><br />
<br />
<img src="apache.gif" width="537" height="51" /><br />
<br />
<br />
<br />
<span class="style1">Brought to you by Mário teste<br />
with a little help from SAPO's dynamic IP service.</span><br />
<br />
<br />
</p>
<img src="sapo.jpg" width="147" height="112" alt="SAPO" /></div>
</body>
</html>
Connection closed by foreign host.
E com o HTTPS também:
# openssl s_client -connect planetgeek.dynip.sapo.pt:443
CONNECTED(00000003)
depth=0 /C=pt/ST=Aveiro/L=Ilhavo/O=Home/OU=Devel/C
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=pt/ST=Aveiro/L=Ilhavo/O=Home/OU=Devel/C
verify error:num=27:certificate not trusted
verify return:1
depth=0 /C=pt/ST=Aveiro/L=Ilhavo/O=Home/OU=Devel/C
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/C=pt/ST=Aveiro/L=Ilhavo/O=Home/OU=Dev
i:/C=pt/ST=Aveiro/L=Ilhavo/O=Home/OU=Dev
---
Server certificate
-----BEGIN CERTIFICATE-----
MIICpzCCAhACAQEwDQYJKoZIhvcNAQEEBQAwgZUx
VQQIEwZBdmVpcm8xDzANBgNVBAcTBklsaGF2bzEN
A1UECxMFRGV2ZWwxFTATBgNVBAMTDE1hcmlvIEdh
ARYfZ2FtaXRvQHBsYW5ldGdlZWsuZHluaXAuc2Fw
MjdaFw0wODA4MTcxNzM0MjdaMIGhMQswCQYDVQQG
aXJvMQ8wDQYDVQQHEwZJbGhhdm8xDTALBgNVBAoT
dmVsMSEwHwYDVQQDExhwbGFuZXRnZWVrLmR5bmlw
9w0BCQEWH2dhbWl0b0BwbGFuZXRnZWVrLmR5bmlw
hvcNAQEBBQADgY0AMIGJAoGBAMDS96JXEp5ExmOK
PrT21PONuyjmliTkg2wj2Zo2zyA+gH87STDur98I
ORlkEC+8Y9YyUB7hSzyEOBrIHgZPGTA1L+s5zKxn
01f7AgMBAAEwDQYJKoZIhvcNAQEEBQADgYEA1/Nm
gv/J9XWp+rWHHn18PHiBv+gH2vhEzQzBpgoLHE3v
uRFuchcQn7y89Ss3PEk4nPsWv49yNFGDGzJazqPA
eo9PbzmOBHPqF20=
-----END CERTIFICATE-----
subject=/C=pt/ST=Aveiro/L=Ilhavo/O=Home/O
issuer=/C=pt/ST=Aveiro/L=Ilhavo/O=Home/O
---
No client certificate CA names sent
---
SSL handshake has read 1247 bytes and written 340 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : DHE-RSA-AES256-SHA
Session-ID: A05F9289D750D1C996F0ED6246F739ACC3D039BA
Session-ID-ctx:
Master-Key: BDC80C19131A3C17D90AC863041DE22948C2143C
Key-Arg : None
Start Time: 1187464955
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
GET /
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xht
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Apache by Mário teste</title>
<style type="text/css">
<!--
.style1 {
font-family: Verdana, Arial, Helvetica, sans-serif;
font-size: 12px;
}
-->
</style>
</head>
<body>
<div align="center">
<p><br />
<br />
<img src="apache.gif" width="537" height="51" /><br />
<br />
<br />
<br />
<span class="style1">Brought to you by Mário teste<br />
with a little help from SAPO's dynamic IP service.</span><br />
<br />
<br />
</p>
<img src="sapo.jpg" width="147" height="112" alt="SAPO" /></div>
</body>
</html>
closed
tags: linux
Servidor caseiro - IX
Antes de mais, dois pequenos apontamentos:- A ventilação da máquina faz muito barulho na sala, acho que vou puxar um cabo até ao roupeiro e trancá-la lá :P
- No ficheiro /root/.bash_profile, na linha
PATH=$PATH:$HOME/bin
convém adicionar o PATH para os binários do MySQL e do Apache:
PATH=$PATH:$HOME/bin:/usr/local/mysql/bin:/usr/local/httpd/bin
de modo a que não seja necessário digitar o PATH completo para um comando.
- Um sistema Linux, CestOS 5, com vários serviços;
- MySQL (RDBMS);
- PostgreSQL (RDBMS);
- Apache com suporte a SSL, PHP, PERL e Python (Servidor web com suporte a três linguagens dinãmicas;
- Samba (servidor de ficheiros);
- Cache de DNS;
# free
total used free shared buffers cached
Mem: 385560 372096 13464 0 21156 282968
-/+ buffers/cache: 67972 317588
Swap: 787176 100 787076
Ora tenho 385560 bytes de RAM total, 13464 livres, 21156 buffered e 282968 cached, o que dá 317588 bytes disponíveis.
Nada mal, não senhor, para um P-III a 500 MHz e 318 MB de RAM.
O que é que dizem a isto os "Microsoft mans", é que numa máquina destas nem um Windows Server instala.
Mas vou deixar um comentário mais completo sobre este assunto no último artigo desta série.
Para já, vou seguir para o qmail.
Back in a while...
tags: linux
Servidor caseiro - VII
Acabei de instalar o Apache com suporte a tudo quanto me interessa: PHP, PERL, Python, SSL e modsecurity.- Pré-configuração do Apache:
# ./configure --prefix=/usr/local/httpd
Por agora fica assim, volto a ele mais tarde
- Instalação de pré-requisitos para o PHP
Para configurar o PHP com suporte a mcrypt e mhash, é necessário compilar as respectivas bibliotecas. Estão no SourceForge para download.
Antes, é necessário adicionar ao ficheiro /etc/ld.so.conf as linhas
/lib
/usr/lib
/usr/local/lib
para que o sistema as reconheça (embora na verdade, só seja estrictamente necessária a última).
A compilação é feita do mesmo modos para os três ficheiros:
# ./configure && make && make install && ldconfig
e deve ser feita por esta ordem: libmcrypt, mhash, mcrypt
Para o PHP suportar IMAP, o que é uma coisa muito útil para o webmail :), tenho que compilar a biblioteca c-client da Universidade de Washington que pode ser encontrada em ftp://ftp.cac.washington.edu/imap/
Antes da compilação, devo editar o ficheiro Makefile e na linha EXTRACFLAGS, colocar à frente, =-ldl, caso contrário, a compilação aborta.
Compilo:
# make slx
A seguir, são necessários uns truques para que o PHP integre bem a biblioteca e não aborte a compilação com erros:
# mkdir lib
# mkdir include
# cd c-client
# cp *.c ../lib
# cp *.h ../include
# cp c-client.a ../lib/libc-client.a
Deixo por agora as coisas como estão.
- Instalação do mod_ssl
O mod_ssl deve ser o primeiro módulo para o Apache.
Lembram-se do certifocado e chave que criei num artigo anterior ? Pois bem, preciso dele agora:
# ./configure --with-apache=../apache_1.3.37 -with-crt=/usr/local/ssl/bin/server.crt --with-key=/usr/local/ssl/bin/server.key
- Instalação do mod_perl
# perl Makefile.PL APACHE_SRC=../apache_1.3.37/src NO_HTTPD=1 USE_APACI=1 PREP_HTTPD=1 EVERYTHING=1
# make
# make install
- Instalação do modsecurity
# cd apache1/
# cp mod_security.c ../../apache_1.3.37/src/modules/extra/
- Instalação do PHP
# export LDFLAGS=-lstdc++
# ./configure --with-mysql=/usr/local/mysql \
--with-pgsql=/usr/local/pgsql \
--with-apache=../apache_1.3.37 \
--with-openssl=/usr/local/ssl \
--enable-track-vars \
--with-xml \
--with-mcrypt \
--with-gettext \
--with-ldap \
--enable-sockets \
--enable-wddx \
--enable-xslt \
--with-xsltsablot \
--with-zlib \
--with-kerberos \
--enable-bcmath \
--with-bz2 \
--enable-calendar \
--with-jpeg-dir \
--with-tiff-dir \
--with-curl \
--with-curlwrappers \
--with-gdbm \
--with-expat \
--with-iconv-dir \
--with-dom-xslt \
--with-dom-exslt \
--with-dom \
--with-db4 \
--with-flatfile \
--with-fam \
--enable-exif \
--with-gd \
--enable-ftp \
--with-png-dir \
--with-xpm-dir \
--with-ttf \
--with-iconv \
--with-mhash \
--with-ncurses \
--enable-soap \
--with-readline \
--with-pear \
--enable-snmp \
--enable-ucd-snmp-hack \
--enable-mbstring \
--enable-mbstr-enc-trans \
--with-imap=/usr/local/src/imap-2006e \
# make
# make install
# cp php.ini-dist /usr/local/lib/php.ini
- Instalação do Apache
Eu tinha dito num artigo anterior que ia precisar do código do OpenSSl e portanto, não o devia apagar. É agora.
# SSL_BASE=../openssl-0.9.8e ./configure --prefix=/usr/local/httpd \ --activate-module=src/modules/perl/libperl.a \ --activate-module=src/modules/php5/libph p5.a \
--enable-module=ssl \
--activate-module=src/modules/extra/mod_security \
--enable-module=security \
--enable-module=rewrite \
--enable-shared=rewrite \
--enable-module=proxy \
--enable-shared=proxy
# make
# make install
O ficheiro ctl do Apache não funciona com o chkconfig de sistemas Red Hat based, pelo que para que arranque automaticamente com o startup do servidor e páre quando se desligue, é necessário efectuar o trabalho manualmente:
# cp /usr/local/httpd/bin/apachectl /etc/init.d/httpd
# cd /etc/rc3.d
# ln -s ../init.d/httpd S99httpd
# ln -s ../init.d/httpd K99httpd
(se tiver interface gráfica, deve fazer o mesmo para o directório /etc/rc5.d)
Como o Apache foi compilado com suporte a SSL, sempre que arranca, pergunta-me a password com que foi criado o certificado, o que é "secante".
Essa pergunta pode ser retirada, embora não seja aconselhável, muito menos em ambientes de produção. Fica a nota.
Para isso, no directório /usr/local/httpd/conf/ssl.key, corro os seguintes comandos:
# cp server.key server.key.org
# openssl rsa -in server.key.org -out server.key
# chmod 400 server.key
O modsecurity tem um bug que faz com que a linha inserida no httpd.conf seja:
AddModule mod_security
Tenho que a mudar para:
AddModule mod_security.c
Se quisermos que o Apache arranque sempre com suporte a SSL, editamos o ficheiro /etc/init.d/httpd e muda-mos a linha nº 87 de
if $HTTPD; then
para
if $HTTPD -DSSL; then
A configuração do httpd.conf fica ao gosto do freguês.
- Instalação do mod_python
A instalação do mod_python é feita depois do Apache estar compilado.
Quando se instala o mod_python, o Apache no arranque queixa-se de que pode crashar.
Para evitar isso, edita-se a o ficheiro src/Makefile.in e muda-se a linha
OPT=
para
OPT=-DEAPI
# ./configure --with-apxs=/usr/local/httpd/bin/apxs
# make dso
# make install
Tenho que adicionar esta linha ao httpd.conf:
LoadModule python_module /usr/local/httpd/libexec/mod_python.so
# /etc/init.d/httpd restart
E pronto, aqui está o Apache a correr com suporte a SSL:
# ps ax
(...)
5600 ? Ss 0:00 /usr/local/httpd/bin/httpd -DSSL
5601 ? S 0:00 /usr/local/httpd/bin/httpd -DSSL
5602 ? S 0:00 /usr/local/httpd/bin/httpd -DSSL
5603 ? S 0:00 /usr/local/httpd/bin/httpd -DSSL
5604 ? S 0:00 /usr/local/httpd/bin/httpd -DSSL
5605 ? S 0:00 /usr/local/httpd/bin/httpd -DSSL
(...)
See ya...
tags: linux
Servidor caseiro - VI
Ponto da situação, neste momento, com o MySQL, o PostgreSQL, o OpenLDAP e mais uma série de serviços a correr, para além do próprio sistema operativo, é claro, temos o seguinte:# free
total used free shared buffers cached
Mem: 385560 341920 43640 0 48152 235680
-/+ buffers/cache: 58088 327472
Swap: 787176 0 787176
Ora, tenho um total de 385560 de RAM na máquina, com a indicação de que 341920 estão a ser utilizados.
Contudo, tenho 43460 livres + 48152 buffered e 235680 cached e nada na swap.
Nada mau :)
Processos instalados:
# ps ax
2196 ? Ss 0:00 /bin/sh /command/svscanboot
2248 ? S 0:00 svscan /service
2249 ? S 0:00 readproctitle service errors:.................................
2250 ? S 0:00 supervise dnscache
2251 ? S 0:00 supervise log
2252 ? S 0:00 /usr/local/bin/dnscache
2253 ? S 0:00 multilog t ./main
4344 ? Rs 0:00 sshd: root@pts/0
14346 pts/0 Ss 0:00 -bash
14511 ? S 0:00 /usr/local/pgsql/bin/postmaster -D /usr/local/pgsql/data
14513 ? Ss 0:00 postgres: writer process
14514 ? Ss 0:00 postgres: stats collector process
14558 pts/0 S 0:00 /bin/sh /usr/local/mysql/bin/mysqld_safe --datadir=/var/lib/mysql --pid-file=/var/lib/mysql/planetgeek.dyn
14593 pts/0 Sl 0:00 /usr/local/mysql/libexec/mysqld --basedir=/usr/local/mysql --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/planetge
14611 pts/0 R+ 0:00 ps ax
Vou avançar para o Apache.
See you soon...
tags: linux
Sexta-feira, 17 de Agosto de 2007
Servidor caseiro - V
A instalação da máquina
tags: linux
Servidor caseiro - IV
O serviço de IP dinâmico do SAPO, configura o DNS – incluindo o MX record para o mail – para o meu IP fixo, portanto, não dá para instalar um servidor de DNS para criar subdomínios, pois o SAPO não os delega.No entanto, e especialmente porque vai ter um servidor de mail, uma cache de DNS é sempre um must have.
- Instalar o djbdns
O software que utilizo para DNS é o djbdns, também do Prof. Dan Bernstein, como se costuma dizer, o djbdns é o DNS made easy.
Primeiro instalo as daemontools, só depois o djbdns. Falarei delas quando instalar o qmail.
# groupadd Gdnscache
# useradd -s /bin/false -g Gdnscache Gdnscache
# groupadd Gdnslog
# useradd -s /bin/false -g Gdnslog Gdnslog
# dnscache-conf Gdnscache Gdnslog /etc/dnscache
# ln -s /etc/dnscache /service
# sleep 5
# svstat /service/dnscache
O servidor de DNS passa agora a ser o localhost,
pelo que o ficheiro /etc/resolv.conf passa a
conter a seguinte linha:
nameserver 127.0.0.1
Para testar, executo o comando:
# dnsip www.planetgeek.org
Como nota final, o código do djbdns já tem alguns
IPs de root servers desactualizados, pelo que
convém actualizá-los.
Para obter os IPs dos root servers actuais, executo:
# dnsq ns . a.root-servers.net
[root@planetgeek servers]# dnsq ns . a.root-servers.net
additional: a.root-servers.net 3600000 A 198.41.0.4
additional: b.root-servers.net 3600000 A 192.228.79.201
additional: c.root-servers.net 3600000 A 192.33.4.12
additional: d.root-servers.net 3600000 A 128.8.10.90
additional: e.root-servers.net 3600000 A 192.203.230.10
additional: f.root-servers.net 3600000 A 192.5.5.241
additional: g.root-servers.net 3600000 A 192.112.36.4
additional: h.root-servers.net 3600000 A 128.63.2.53
additional: i.root-servers.net 3600000 A 192.36.148.17
additional: j.root-servers.net 3600000 A 192.58.128.30
additional: k.root-servers.net 3600000 A 193.0.14.129
additional: l.root-servers.net 3600000 A 198.32.64.12
additional: m.root-servers.net 3600000 A 202.12.27.33
[root@planetgeek servers]#
São estes os IPs a inserir no ficheiro /etc/dnscache/root/servers/@
Isto faz o trabalho:
# dnsq ns . a.root-servers.net | cut -d' ' -f5 | tail -n13 > @
Vou ver se funga:
[root@planetgeek servers]# svstat /service/dnscache/
/service/dnscache/: up (pid 31737) 353138 seconds
[root@planetgeek servers]#
Funga :)
tags: linux
Servidor caseiro - III
Ok, sistema instalado, um módulo de RAM foi à viola, estou com 384 MB de RAM.Instalei o OpenSSL, o MySQL e o PostgreSQL. A compilação deve ser feita no directório /usr/local/src
- Instalar OpenSSL
# ./config no-idea
# make depend
# make
# make install
No final, devemos ficar com tudo em /usr/local/ssl/
Criar a nossa Certificate Authority
Mudamos para /usr/local/ssl/bin/ e executamos
# cd /usr/local/ssl
# ./openssl genrsa -des3 -out ca.key 1024
É-nos pedida uma password para o ficheiro ca.key
De seguida criamos um auto-assinado certificado CA com a respectiva chave RSA:
# ./openssl req -new -x509 -days 365 -key ca.key -out ca.crt
É-nos pedida a password que demos anteriormente e é-nos colocada uma série de perguntas a que se responde facilmente.
Criar um certificado SSL
Criamos uma chave privada com
# ./openssl genrsa -des3 -out server.key 1024
É-nos novamente pedida uma password.
De seguida criamos um Certified Signing Request com a chave privada RSA:
# ./openssl req -new -key server.key -out server.csr
Mais uma vez é-nos colocada a mesma série de questões, mas atenção: quando nos for perguntado o Common Name, devemos dar o Full Qualified Domain Name. Esta questão é muito importante.
É-nos também pedida uma challenge password.
Assinar o server.csr
Para que possamos ter um certificado SSL válido, usamos a nossa CA para assinar o ficheiro server.csr
O mod_ssl tem um utilitário para o fazer. Descomprimimos o ficheiro do código e na directoria pkg.contrib existe um executável denominado sign.sh
Copiamo-lo para /usr/local/ssl/bin/ e neste directório executamos
# ./sign.sh server.csr
É-nos pedida a password que demos antes e respondemos y às duas perguntas seguintes. Se tivermos sucesso podemos ler a mensagem:
Write out database with 1 new entries
Data Base Updated
CA Verifying: server.crt <-> CA cert
server.crt: OK
Não se apaga o directório do código fonte do openssl e do mod_ssl, pois adiante será necessário recorrer a eles de novo. - Instalar MySQL
# ./configure --prefix=/usr/local/mysql
# make
# make install
De seguida, deve executar-se o comando
# scripts/mysql_install_db
Agora cria-se um utilizador e um grupo mysql:
# groupadd mysql
# useradd -g mysql -s /bin/false mysql
De seguida, no directório /usr/local/mysql/var, executam-se os comandos:
# chown -R mysql.mysql .
# find . -follow -type d -print | xargs chown mysql.mysql
Deve evitar-se que outros utilizadores acedam aos dados do MySQL. Para isso, utilizam-se no mesmo directório, os comandos:
# chmod -R go-rwx .
# find . -follow -type d -print | xargs chmod go-rwx
Em /usr/local/src/mysql-5.0.45/support-files existe um ficheiro denomindao mysql.server. Copia-se para /etc/init.d e dão-se-lhe permissões de execução:
# cd /usr/local/src/mysql-4.0.12/support-files
# cp mysql.server /etc/init.d/mysqld
# cd /etc/init.d
# chmod +x mysqld
Arranque o servidor com o comando:
# /etc/init.d/mysqld start
Para que o MySQL arranque automaticamente quando ligar o servidor, execute o comando:
# chkconfig --level 35 mysqld on
Dê uma password ao utilizador root do MySQL (não confundir com o root do sistema, a semelhança de nomes é pura coincidência) executando o comando:
# /usr/local/mysql/bin/mysqladmin -u root password segredo
O root do MySQL fica então com a password segredo. - Instalar o PostgreSQL
# ./configure
# gmake
# gmake install
# groupadd postgres
# useradd postgres
# mkdir /usr/local/pgsql/data
# chown -R postgres.users /usr/local/pgsql/data
# su - postgres
# /usr/local/pgsql/bin/initdb -D /usr/local/pgsql/data
# /usr/local/pgsql/bin/postmaster -D /usr/local/pgsql/data > logfile 2>&1 &
No directório contrib/start-scripts, existe um ficheiro denominado linux que é um script para arrancar o PostgreSQL. Vamos copiá-lo para /etc/init.d, dar-lhe permissões de execução e tornar permanente o seu arranque quando se ligue o servidor:
# cp linux /etc/init.d/pgsqld
# cd /etc/init.d
# chmod +x pgsqld
# chkconfig --level 35 pgsqld on
Keep in touch.
tags: linux
Servidor caseiro - II
Depois de muitas trocas e baldrocas e de ter comprado um disco IDE de 40 GB por 10 euros :), voltei ao P-III a 500 MHz com 512 MB de RAM.Também lhe pus o DVD e a ZIP que estavam no P-II
Vou postando aqui os passos que vou fazendo para a instalação do servidor todo, para o caso de alguém querer seguir, embora presuma que quem o quiser, saiba descompactar ficheiros e coisas básicas desse género.
Estou aberto a sugestões e disponível para quem precisar de ajuda.
É só postar nos comentários.
- Instalação do CentOS 4.5
A instalação é muito fácil, basta ir seguindo os passos. No meu caso aqui para casa, basta-me uma partição /boot (convém ter 256 MB, mais ou menos), uma / e uma swap;
Não escolhi nada que seja gráfico, à excepção das bibliotecas de desenvolvimento do X. Quem quiser e se sentir mais à vontade, pode instalar o GNOME ou o KDE, assim tem acesso a uma série de ferramentas administrativas gráficas.
Se quiser aprender Linux a sério, desaconselho, mas hey, é a minha opinião;
Depois de instalado o passo seguinte é fazer o update ao sistema. Para isso, é preciso primeiro importar a chave GPG do CentOS com que os pacotes são assinados:
# rpm --import http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-4
Depois, fazer o update ao sistema operativo:
# yum update
No final é preciso reiniciar, pois nas actualizações veio um kernel novo.
Eu costumo editar o ficheiro /etc/sysconfig/i18n e onde está UTF-8, mudo para ISO-8859-1, mas isto é à escolha do freguês.
Se se instalar o mrtg, o crontab executa-o a cada 5 minutos – uma linha para login e outra para logout. Até aqui tudo bem, só que enche o ficheiro /var/log/messages de lixo.
Para pôr os logs do mrtg noutro ficheiro, por exemplo, /var/log/auth, edito o ficheiro /etc/syslog.conf e mudo a linha:
*.info;mail.none;authpriv.none;cron.none /var/log/messages
para:
*.info;auth.none;mail.none;authpriv.none;cron.none /var/log/messages
Adicionar també a linha:
auth.* /var/log/auth
Faço o logrotate também a este ficheiro:
Edito o ficheiro /etc/logrotate.d/syslog e no topo, adiciono a linha:
/var/log/auth
Gravo o ficheiro e faço um restart ao syslogd:
# /etc/init.d/syslog restart
E pronto, os logs do mrtg vão para /var/log/auth.
Alguns serviços que vêm a correr por omissão no sistema, são absolutamente desnecessários e apenas consomem recursos (poucos obviamente, mas quando se tem uma máquina com pouca RAM, tudo conta).
Pessoalmente, costumo sempre desligar o gpm e o pcmcia, pelo menos:
# cd /etc/init.d/
# chkconfig --level 3 gpm off
# chkconfig --level 3 pcmcia off
# ./pcmcia stop
# ./gpm stop
Por outro lado, o OpenLDAP não vem a correr por omissão, pelo que tenho que o colocar:
# chkconfig --level 3 ldap on
# ./ldap start
(se estiver a correr uma interface gráfica, o parâmetro --level do chkconfig deve ser --level 35)
I'll keep you posted...
tags: linux
Quinta-feira, 16 de Agosto de 2007
Servidor caseiro - I
Bem, como sempre nestas coisas de hardware antigo, a Ley de Murphy não perdoa. O belo disco rígido do P-III deu o berro, de modo que tive que pegar num P-II MMX a 233 MHz que aqui tenho e recomeçar o trabalho.
Este só tem 128 MB de RAM e 6,8 GB de disco rígido, mas tem DVD, dois leitores de CD e uma ZIP.
Vamos ver o que o Linux vale com tão pouca memória :)
Eu vou relatando à medida que for instalando para quem possa interessar.
Para já, vou instalar o CentOS 5 (que para quem não sabe é um clone livre do Red Hat Enterprise Linux 5). É exactamente a mesma coisa.
Eu cá gosto de compilar umas coisas ao meu gosto para que façam aquilo que eu quero (também poderia recompilar os SRPMs), eu sei, é discutível, mas aqui vai aquilo que eu não vou instalar da distribuição e que vou compilar:
- Apache, PHP (incluindo suporte a mcrypt, mhash, IMAP e mais uma carrada de coisas), mod_perl, mod_python, mod_ssl e mod_security;
- OpenSSL;
- MySQL e PostgreSQL (PHP compilado com suporte a estas duas RDBMS);
- SpamAssassin;
- Também não instalo o X, nos meus servidores é só runlevel 3, aka consola.
See you...
tags: linux
Quarta-feira, 15 de Agosto de 2007
Quando falta a inspiração para blogar...
tags: blogs
Terça-feira, 14 de Agosto de 2007
Servidor caseiro
Hoje, decidi-me a começar a instalação do meu primeiro servidor caseiro, utilizando o novo serviço de IP dinâmico do SAPO.Características:
- Linux CentOS 5
- PIII a 500 MHz, 256 MB RAM, HD 20 GB
- djbdns;
- qmail LDAP + ezmlm + SpamAssassin + qmail-scanner + vpopmail + etc.
- Apache + Squid + PHP + mod_perl + mod_python + mod_ssl + mod_security + etc.
- Zope
- MySQL + PostgreSQL
- IPTABLES
- OpenLDAP
- Samba
- PureFTPd
Bem, vou começar, ainda vai demorar um bocado numa máquina destas.
tags: linux
Add-On Mac OS X look para Thunderbird
O único add-on que eu utilizava para o Thunderbird era o AppleMail que lhe dava um look Mac OS X absolutamente espectacular.Infelizmente, deixou de ser compatível com o Thunderbird 2.x e o autor do add-on não o actualizou.
Contudo, descobri um modo de ultrapassar o problema.
Descomprimindo o ficheiro .jar e abrindo o install.rdf, basta sustituir a linha
<em:maxVersion>1.5.0.*</em:maxVersion>
por
<em:maxVersion>3.0a1</em:maxVersion>
por
<em:maxVersion>3.0a1</em:maxVersion>
e voltar a cmprimir, para .zip, por exemplo.
E fica a funcionar perfeitamente em 2.0.0.6, como podem ver:
E fica a funcionar perfeitamente em 2.0.0.6, como podem ver:
Saca daqui a versão já modificada por mim e pronta a utilizar, ou a original e faz tu a modificação.
Depois de instalares, tens que ir a Tools -> Addons -> Themes e escolher o Apple Mail.
Funciona em Windows e em Linux.
Enjoy :)
Depois de instalares, tens que ir a Tools -> Addons -> Themes e escolher o Apple Mail.
Funciona em Windows e em Linux.
Enjoy :)
tags: software
Segunda-feira, 13 de Agosto de 2007
SourceForge no meu PC
Numa empresa na qual trabalhei, usava-se tanto o SourceForge (que foi comprado pela Collabnet) para a gestão de projectos que acabei por me habituar a ele e instalá-lo no meu portátil para as minhas coisas.Basta descarregar a ISO e corrê-la no vmplayer, vmware ou vmware server.
O sistema operativo é um CentOS 4.4 e tem tudo o que um developer necessita, para além do software de gestão, como é óbvio.
É um bocadinho pesado, convém ter-se no mínimo 1GB de RAM.
tags: software
Log Me In - Ligação remota ao seu PC Windows
Eu não sou muito adepto destas coisas, mas para quem gostar e puder ser útil, aqui fica.Através do site Logmein, pode registar-se, fazer o download de uma aplicação e um add-on para o Firefox.
Depois disso, deixe o seu computador Windows de casa ligado e pode ligar-se ao seu computador remotamente através do site. É-lhe pedido o login e a password do seu computador:
E fica a trabalhar no seu computador de casa:
É tudo HTTPS.
Enjoy :)
Enjoy :)
tags: software
Notícias do Código Livre
Na semana passada tivemos duas notícias do Código Livre:- O Cliente BitTorrent (6) passou a ser código fechado, embora as especificações do protocolo se mantenham abertas;
- A MySQL AB arranjou um esquema para o MySQL tipo "um MySQL para filhos e outro para enteados".
Pois, temos pena, mas clientes BitTorrent de código fechado, não obrigado.
Não faltam alternativas livres bem melhores e já me cheira a forks da versão 5.
Já quanto ao MySQL, o assunto tem outros contornos.
O MySQL nunca foi uma excelente RDBMS, contudo, devido à sua simplicidade e facilidade de administração (para a qual o phpMyAdmin muito contribuiu), tornou-se na base de dados mais utilizada em sites web.
Ora, foi precisamente por esta via que os enteados e não os filhos que fizeram do MySQL aquilo que é hoje.
Vamos ver como reagem estas pessoas à atitude da MySQL AB, é que o PostgreSQL está mesmo ao virar da esquina, é uma RDBMS a sério e a transição para quem usa há anos MySQL não é assim tão difícil.
Quer-me parecer que estamos perante dois casos de tiro no pé.
Vamos esperar para ver...
tags: software
Sábado, 11 de Agosto de 2007
Sporting 1 - Clube do Bairro das Antas 0
And that's just about it :)tags: sporting
Sexta-feira, 10 de Agosto de 2007
Flares em HeatSeeker para PSP
Por acaso alguém tem o jogo HeatSeeker para a PSP que me saiba dizer como é que raio se disparam os flares para despistar os mísseis inimigos que vêm contra o nosso avião ?No manual fala disso, mas não diz qual é o botão ou combinação de botões, já tentei de tudo e não consigo.
Durante o jogo, aparece o alarme para lançar os flares e tunga, plane down :(
Fénix, não consigo passar uma missão por causa disto.
tags: jogos
SAPO Mobile
Fui um dos 100 seleccionados para beta-tester do SAPO Mobile que há-de vir :)Para já, só posso dizer que está espectacular.
tags: web
Horas de entertenimento
... a alta velocidade.
Dois jogos de carros fantásticos.
Especialmente contra outra pessoa em game sharing por wireless.
Dois jogos de carros fantásticos.
Especialmente contra outra pessoa em game sharing por wireless.
tags: jogos
Quinta-feira, 9 de Agosto de 2007
O Sporting, claro
Isto já não é novidade, mas qual outro clube se não o Sporting poderia surgir com uma ideia tão invovadora, tão cheia de classe e tão à frente ?Introduza os seus dados e clique em "Enviar" para ver o vídeo.
PS: O Benfica também inovou, agora têm umas camisolinhas cor-de-rosinha :P
tags: sporting
Portugal, o País dos 11 meses
Neste País, quando chega Agosto, é escusado pensar em fazer qualquer coisa, Portugal está parado.
"Já veio a certidão xpto que pedi ?"
"Ah, sabe como é, Agosto, os serviços estão a meio-gás, o pessoal está de férias..."
"Já veio a peça para o arranjo do meu carro ?"
"Pois, em Agosto muitas fábricas fecham e normalmente a entrega de material atrasa-se, pois efectivamente é uma chatice, compreendo a sua situação, mas efectivamente a peça ainda não chegou, este mês é terrível..."
Ir ao Médico ?
Tudo de férias.
É assim por todo o lado, Portugal dá-se ao luxo de ser o País dos 11 meses.
Depois queixam-se que a produção isto, o PIB aquilo...
Férias repartidas obrigatórias, já.
PS: Já agora, na verdade, Portugal é o País dos 10 meses e meio, porque nos últimos 15 dias do ano, anda tudo a fazer de conta que trabalha, ninguém faz a ponta de um corno à pala das ditas Festas.
Pelo menos no Estado.
tags: sociedade
Terça-feira, 7 de Agosto de 2007
As Torres Eólicas em Portugal
Vinha eu no Sábado na Auto-Estrada do Norte, a reparar nas torres eólicas e a pensar, tenho que escrever um artigo sobre isto no meu blog.Pois bem, o meu colega Obvious adiantou-se, mas aqui vão os meus 2 cents. sobre o assunto à mesma (só li a introdução do artigo do Obvious no Planet Geek, depois de escrever o meu artigo, vou ler o resto a ver se confere).
Ora bem, efectivamente, as torres eólicas de produção de electricidade que estão a surgir como cogumelos no nosso País, são um desastre ambiental, estão a arruinar a nossa paisagem.
Não encontro modo mais suave de dizer isto, tem mesmo que ser pão-pão, queijo-queijo.
Mas o que é mais grave, é que Portugal é um País no qual a produção de energia eléctrica por via eólica não tem qualquer fundamento nem viabilidade.
Por mais parques eólicos que se instalem, Portugal não tem vento suficiente para produzir energia eléctrica por esta via em quantidade sequer... mencionável.
Não, não vale a pena dizer que na minha terrinha faz sempre vento e que as hélices estão sempre a rodar, leiam os relatórios das Agências Internacionais de Energia.
Parques eólicos são realmente eficientes em locais como os Fiordes Nórdicos, por exemplo.
Isto faz-me lembrar que há cá também (confesso que agora não sei exactamente o local) uma instalação de produção de energia eléctrica pela ondulação do mar.
Mas isto anda tudo doido ? Que sentido faz isto num País no qual durante 8 ou 9 meses por ano temos uma ondulação de 1 a 2 metros ?
O que se passa nestes dois casos, é que Portugal quer agarrar o cluster destas tecnologias (e no caso do eólico até está a conseguir), o que por si só não é mau.
Entretanto, vai-se é arruinando a paisagem e isso sim, não é bom.
O que interessa discutir é se vale a pena a troca, ou alternativas que não destruam a paisagem.
tags: sociedade
Segunda-feira, 6 de Agosto de 2007
40 Anos de Pink Floyd
Ontem, passaram 40 anos sobre a edição do primeiro álbum dos Pink Floyd – The Piper At The Gates Of Dawn – com Syd Barrett, Roger Waters, Richard Wright e Nick Mason.O álbum foi um sucesso imediato, pois os Floyd já eram sobejamente conhecidos pelos seus inúmeros concertos underground.
Temas como Astronomy Domine e Interstellar Overdrive rapidamente se tornaram ícones do Rock psicadélico.
Capa de The Piper At The Gates Of Dawn
A história remonta no entanto a 1965 quando Roger Waters, Richard Wright e Nick Mason pertenceram a várias bandas – Sigma 6, The Meggadeaths, The Architectural Abdabs, The Screaming Abdabs e The Abdabs – tendo no final dessas aventuras, convidado Syd Barrett para guitarrista e adoptado o nome Pink Floyd em honra a dois bluesman – Pink Anderson e Floyd Council.
Syd Barrett torna-se o líder dos Pink Floyd, é a sua imagem, alma e coração.
O segundo álbum, A Saucerful Of Secrets, é gravado no famoso Abbey Road Studios da EMI e é lançado no ano seguinte, já com Syd Barret consumido pelo ácido e demais experiências psicadélicas, completamente alheado do mundo.
Devido a este facto, os restantes três Floyds, convidam David Gilmour – amigo do tempo em que eram colegas na Faculdade de Arquitectura – para guitarrista e assim, este participa em cinco temas do disco.
Capa de A Saucerful Of Secrets
Este, é assim, o único álbum dos Pink Floyd com os cinco.
A Saucerful Of Secrets é hoje considerado como o primeiro álbum de Rock Progressivo da História da Música.
Remember a Day, Set The Controls For The Heart Of The Sun e Corporal Clegg, são temas inesquecíveis e tornaram-se da noite para o dia de audição obrigatória para qualquer melómano avant garde que se prezasse.
Remember a Day, Set The Controls For The Heart Of The Sun e Corporal Clegg, são temas inesquecíveis e tornaram-se da noite para o dia de audição obrigatória para qualquer melómano avant garde que se prezasse.
Entretanto, Syd Barrett completamente perdido entre as drogas e a fama torna-se incapaz de continuar a dar o seu contributo aos Floyd. Num concerto ao vivo, arranha durante meia-hora seguida, o mesmo acorde na guitarra.
De modo que teve que ser substituído por David Gilmour e nunca mais Syd Barrett tocou com os Pink Floyd.
Seguiu uma carreira a solo com dois álbuns – The Madcap Laughs e Opel – com algum pouco sucesso e refugiou-se na sua loucura em casa da mãe, muito raramente sendo visto em público. Viria a falecer no ano passado.
Syd Barrett
Em 1969, já com a banda com a sua constituição definitiva – Roger Waters, David Gilmour, Richard Wright e Nick Mason – gravam o álbum More, banda sonora para o filme do mesmo nome realizado por Barbet Schroeder.
Capa de More
Apesar de conter temas interessantes como Cyrrus Minor, The Nile Song ou Cymbaline, não é um álbum característico da sonoridade habitual dos Pink Floyd, inclusive, o tema A Spanish Piece é uma incursão de David Gilmour pelo Flamengo Espanhol.
Em 1987 é re-editado em CD.
O álbum seguinte é editado no mesmo ano (1969) e é duplo, sendo um dos discos gravado em estúdio e outro ao vivo. O nome é Ummagumma.
O título Ummagumma é calão de Cambridge para foder.
Careful with That Axe, Eugene é talvez um dos temas mais interessantes do disco e o álbum tem uma canção com o título mais longo que alguma vez vi, Several Species of Small Furry Animals Gathered Together in a Cave and Grooving with a Pict.
Este álbum é tido como o impulsionador muitos anos mais tarde da música New Age.
Em 1971, 1972 e 1973, seguem-se os álbuns Atom Heart Mother, Meddle e Obscured by Clouds.
Pessoalmente, apesar de possuir os álbuns e gostar da sua música, considero este como o período menos interessante dos Pink Floyd.
O título do primeiro surge após os Floyd terem lido num artigo de jornal um caso de uma mulher que tinha um pacemaker movido a energia atómica, o álbum era para se chamar The Amazing Pudding.
Capa de Atom Heart Mother
Em 1973, é lançado aquele que é um dos álbuns-bandeira dos pink Floyd – The Dark Side Of The Moon.
O álbum é considerado como um marco na música Rock, a revista Rolling Stone elegeu-o como o 43º melhor álbum da História, esteve 763 semanas no Billboard 200 do Estados Unidos e é o 5º álbum mais vendido de sempre no mundo.
Ainda hoje se vende na casa dos milhões anualmente. Em 2004, por exemplo, venderam-se 40 milhões de unidades.
O disco foi produzido por Alan Parsons, sim, o mesmo do Alan Parson's Project.
É o primeiro de cinco discos em que as letras das canções são todas de Roger Waters.
Capa de The dark Side Of the Moon
Capa de More
Apesar de conter temas interessantes como Cyrrus Minor, The Nile Song ou Cymbaline, não é um álbum característico da sonoridade habitual dos Pink Floyd, inclusive, o tema A Spanish Piece é uma incursão de David Gilmour pelo Flamengo Espanhol.
Em 1987 é re-editado em CD.
O álbum seguinte é editado no mesmo ano (1969) e é duplo, sendo um dos discos gravado em estúdio e outro ao vivo. O nome é Ummagumma.
O título Ummagumma é calão de Cambridge para foder.
Capa de Ummagumma
Careful with That Axe, Eugene é talvez um dos temas mais interessantes do disco e o álbum tem uma canção com o título mais longo que alguma vez vi, Several Species of Small Furry Animals Gathered Together in a Cave and Grooving with a Pict.
Este álbum é tido como o impulsionador muitos anos mais tarde da música New Age.
Em 1971, 1972 e 1973, seguem-se os álbuns Atom Heart Mother, Meddle e Obscured by Clouds.
Pessoalmente, apesar de possuir os álbuns e gostar da sua música, considero este como o período menos interessante dos Pink Floyd.
O título do primeiro surge após os Floyd terem lido num artigo de jornal um caso de uma mulher que tinha um pacemaker movido a energia atómica, o álbum era para se chamar The Amazing Pudding.
Capa de Atom Heart Mother
O tema Alan's Psychedelic Breakfast é inevitavelmente a imagem de marca do disco gravado com uma orquestra sinfónica.
O álbum Meddle contém o inesquecível e sempre tocado ao vivo até hoje, One Of These Days, um tema forte com David Gilmour na guitarra Hawaiana.
Capa de Meddle
O álbum Meddle contém o inesquecível e sempre tocado ao vivo até hoje, One Of These Days, um tema forte com David Gilmour na guitarra Hawaiana.
Capa de Meddle
O segundo lado do álbum contém apenas uma faixa, Echoes.
O último álbum deste trio, Obscured by Clouds, é novamente uma banda sonora, desta feita para o filme La Vallé do mesmo realizador de More.
É um álbum superior a More, na minha opinião e muito mais homogéneo.
Capa de Obscured By Clouds
O último álbum deste trio, Obscured by Clouds, é novamente uma banda sonora, desta feita para o filme La Vallé do mesmo realizador de More.
É um álbum superior a More, na minha opinião e muito mais homogéneo.
Capa de Obscured By Clouds
Roger Waters apenas compôs uma das canções do disco – Free Four – na qual aborda pela primeira vez, a morte do pai, tema que recuperarei adiante.
Em 1973, é lançado aquele que é um dos álbuns-bandeira dos pink Floyd – The Dark Side Of The Moon.
O álbum é considerado como um marco na música Rock, a revista Rolling Stone elegeu-o como o 43º melhor álbum da História, esteve 763 semanas no Billboard 200 do Estados Unidos e é o 5º álbum mais vendido de sempre no mundo.
Ainda hoje se vende na casa dos milhões anualmente. Em 2004, por exemplo, venderam-se 40 milhões de unidades.
O disco foi produzido por Alan Parsons, sim, o mesmo do Alan Parson's Project.
É o primeiro de cinco discos em que as letras das canções são todas de Roger Waters.
Capa de The dark Side Of the Moon
Time, Money, Brain Damage, Eclipse e The Great Gig In The Sky, ficarão para sempre na História da Música Rock.
A voz de Clare Torry no último dos temas mencionados é outro ícone dos Pink Floyd.
Por esta altura, já Roger Waters era o líder incontestado dos Pink Floyd e surge verdadeiramente pela primeira vez os traumas que durante tempos viriam a assolar a música da banda.
O primeiro é Syd Barrett que nunca esqueceram.
A letra da canção Brain Damage é escrita com ele no pensamento:
A voz de Clare Torry no último dos temas mencionados é outro ícone dos Pink Floyd.
Por esta altura, já Roger Waters era o líder incontestado dos Pink Floyd e surge verdadeiramente pela primeira vez os traumas que durante tempos viriam a assolar a música da banda.
O primeiro é Syd Barrett que nunca esqueceram.
A letra da canção Brain Damage é escrita com ele no pensamento:
The lunatic is on the grass.
The lunatic is on the grass.
Remembering games and daisy chains and laughs.
Got to keep the loonies on the path.
The lunatic is in the hall.
The lunatics are in my hall.
The paper holds their folded faces to the floor
And every day the paper boy brings more.
And if the dam breaks open many years too soon
And if there is no room upon the hill
And if your head explodes with dark forebodings too
I'll see you on the dark side of the moon.
The lunatic is in my head.
The lunatic is in my head
You raise the blade, you make the change
You re-arrange me 'til I'm sane.
You lock the door
And throw away the key
There's someone in my head but it's not me.
And if the cloud bursts, thunder in your ear
You shout and no one seems to hear.
And if the band you're in starts playing different tunes
I'll see you on the dark side of the moon.
The lunatic is on the grass.
Remembering games and daisy chains and laughs.
Got to keep the loonies on the path.
The lunatic is in the hall.
The lunatics are in my hall.
The paper holds their folded faces to the floor
And every day the paper boy brings more.
And if the dam breaks open many years too soon
And if there is no room upon the hill
And if your head explodes with dark forebodings too
I'll see you on the dark side of the moon.
The lunatic is in my head.
The lunatic is in my head
You raise the blade, you make the change
You re-arrange me 'til I'm sane.
You lock the door
And throw away the key
There's someone in my head but it's not me.
And if the cloud bursts, thunder in your ear
You shout and no one seems to hear.
And if the band you're in starts playing different tunes
I'll see you on the dark side of the moon.
Wish You Were Here é editado em 1975 e todas as letras do álbum são dedicadas a Syd Barrett.
É um excelente conjunto de músicas, a começar pela que dá o nome ao álbum e Shine On You Crazy Diamond.
Em Wish You Were Here, os Floyd cantam:
David Gilmour e Richard Wright afirmariam anos mais tarde num programa de rádio que Wish You Were Here é o seu disco preferido de sempre, mas a sua concepção trouxe clivagens à banda e Roger Waters assume o controle total de todos os processos na banda.
1977 é o ano de edição de Animals, na minha opinião, provavelmente o álbum mais atípico dos Pink Floyd.
É de uma extrema crueza musical e poética, mas ao mesmo tempo belo.
Retrata vários tipos de pessoas comparando-as com animais.
Capa de Animals
O álbum reflecte o olhar dos Floyd, em particular de Roger Waters sobre o Sistema Capitalista e cada canção, que tem um nome de um animal, representa um tipo de classe desta Sociedade.
Em 1979, surge aquele que é porventura o mais conhecido dos álbuns dos Pink Floyd, The Wall.
Neste duplo álbum conceptual, completamente idealizado e composto por Roger Waters (à excepção do tema Comfortably Numb, composto em parceria com David Gilmour), é dada vida a um personagem chamado Pink, traumatizado na adolescência pela tirania da mãe e opressão dos professores.
Em The Wall, chega o segundo dos traumas da música Floydiana, a morte em combate do pai de Roger Waters, piloto de caças na 2ª Guerra Mundial:
É um excelente conjunto de músicas, a começar pela que dá o nome ao álbum e Shine On You Crazy Diamond.
Em Wish You Were Here, os Floyd cantam:
So, so you think you can tell
Heaven from Hell,
Blue skys from pain.
Can you tell a green field
From a cold steel rail?
A smile from a veil?
Do you think you can tell?
And did they get you to trade
Your heros for ghosts?
Hot ashes for trees?
Hot air for a cool breeze?
Cold comfort for change?
And did you exchange
A walk on part in the war
For a lead role in a cage?
How I wish, how I wish you were here.
We're just two lost souls
Swimming in a fish bowl,
Year after year,
Running over the same old ground.
What have we found?
The same old fears.
Wish you were here.
Heaven from Hell,
Blue skys from pain.
Can you tell a green field
From a cold steel rail?
A smile from a veil?
Do you think you can tell?
And did they get you to trade
Your heros for ghosts?
Hot ashes for trees?
Hot air for a cool breeze?
Cold comfort for change?
And did you exchange
A walk on part in the war
For a lead role in a cage?
How I wish, how I wish you were here.
We're just two lost souls
Swimming in a fish bowl,
Year after year,
Running over the same old ground.
What have we found?
The same old fears.
Wish you were here.
Capa de Wish You Were Here
David Gilmour e Richard Wright afirmariam anos mais tarde num programa de rádio que Wish You Were Here é o seu disco preferido de sempre, mas a sua concepção trouxe clivagens à banda e Roger Waters assume o controle total de todos os processos na banda.
1977 é o ano de edição de Animals, na minha opinião, provavelmente o álbum mais atípico dos Pink Floyd.
É de uma extrema crueza musical e poética, mas ao mesmo tempo belo.
Retrata vários tipos de pessoas comparando-as com animais.
Dogs:
You gotta be crazy, you gotta have a real need.
You gotta sleep on your toes, and when you're on the street,
You gotta be able to pick out the easy meat with your eyes closed.
And then moving in silently, down wind and out of sight,
You gotta strike when the moment is right without thinking.
And after a while, you can work on points for style.
Like the club tie, and the firm handshake,
A certain look in the eye and an easy smile.
You have to be trusted by the people that you lie to,
So that when they turn their backs on you,
You'll get the chance to put the knife in.
Sheep:
You gotta be crazy, you gotta have a real need.
You gotta sleep on your toes, and when you're on the street,
You gotta be able to pick out the easy meat with your eyes closed.
And then moving in silently, down wind and out of sight,
You gotta strike when the moment is right without thinking.
And after a while, you can work on points for style.
Like the club tie, and the firm handshake,
A certain look in the eye and an easy smile.
You have to be trusted by the people that you lie to,
So that when they turn their backs on you,
You'll get the chance to put the knife in.
Sheep:
Harmlessly passing your time in the grassland away;
Only dimly aware of a certain unease in the air.
You better watch out,
There may be dogs about
I've looked over Jordan, and I have seen
Things are not what they seem.
What do you get for pretending the danger's not real.
Meek and obedient you follow the leader
Down well trodden corridors into the valley of steel.
What a surprise!
A look of terminal shock in your eyes.
Now things are really what they seem.
No, this is no bad dream.
Only dimly aware of a certain unease in the air.
You better watch out,
There may be dogs about
I've looked over Jordan, and I have seen
Things are not what they seem.
What do you get for pretending the danger's not real.
Meek and obedient you follow the leader
Down well trodden corridors into the valley of steel.
What a surprise!
A look of terminal shock in your eyes.
Now things are really what they seem.
No, this is no bad dream.
Capa de Animals
O álbum reflecte o olhar dos Floyd, em particular de Roger Waters sobre o Sistema Capitalista e cada canção, que tem um nome de um animal, representa um tipo de classe desta Sociedade.
Em 1979, surge aquele que é porventura o mais conhecido dos álbuns dos Pink Floyd, The Wall.
Neste duplo álbum conceptual, completamente idealizado e composto por Roger Waters (à excepção do tema Comfortably Numb, composto em parceria com David Gilmour), é dada vida a um personagem chamado Pink, traumatizado na adolescência pela tirania da mãe e opressão dos professores.
Mother:
Hush now baby, baby, dont you cry.
Mother's gonna make all your nightmares come true.
Mother's gonna put all her fears into you.
Mother's gonna keep you right here under her wing.
She wont let you fly, but she might let you sing.
Mama will keep baby cozy and warm.
Ooooh baby ooooh baby oooooh baby,
Of course mama'll help to build the wall.
Hush now baby, baby dont you cry.
Mama's gonna check out all your girlfriends for you.
Mama wont let anyone dirty get through.
Mama's gonna wait up until you get in.
Mama will always find out where you've been.
Mama's gonna keep baby healthy and clean.
Ooooh baby oooh baby oooh baby,
You'll always be baby to me.
Mother, did it need to be so high?
Another Brick In The Wall - Part II:
We don't need no education
We dont need no thought control
No dark sarcasm in the classroom
Teachers leave them kids alone
Hey! Teachers! Leave them kids alone!
All in all it's just another brick in the wall.
All in all you're just another brick in the wall.
Capa de The Wall
O mesmo aconteceu por todo o mundo.Hush now baby, baby, dont you cry.
Mother's gonna make all your nightmares come true.
Mother's gonna put all her fears into you.
Mother's gonna keep you right here under her wing.
She wont let you fly, but she might let you sing.
Mama will keep baby cozy and warm.
Ooooh baby ooooh baby oooooh baby,
Of course mama'll help to build the wall.
Hush now baby, baby dont you cry.
Mama's gonna check out all your girlfriends for you.
Mama wont let anyone dirty get through.
Mama's gonna wait up until you get in.
Mama will always find out where you've been.
Mama's gonna keep baby healthy and clean.
Ooooh baby oooh baby oooh baby,
You'll always be baby to me.
Mother, did it need to be so high?
Another Brick In The Wall - Part II:
We don't need no education
We dont need no thought control
No dark sarcasm in the classroom
Teachers leave them kids alone
Hey! Teachers! Leave them kids alone!
All in all it's just another brick in the wall.
All in all you're just another brick in the wall.
Capa de The Wall
O tema Another Brick InThe Wall - Part II, cuja letra pode ser lida em cima, levantou uma celeuma enorme, em especial no Reino Unido. Argumentou-se tudo em desfavor dos Pink Floyd, que eram contra a Educação, um perigo para as crianças, etc.
Mau grado essas vozes, a atitude do público foi de absoluta rendição, o álbum ganhou 23 discos de platina, vendeu 23 milhões de cópias nos Estados Unidos e 30 milhões no resto do mundo. É o álbum duplo mais vendido da História.
Em Portugal, tanto o single como o álbum, estiveram mais de um ano em nº 1 no top de vendas.
Mau grado essas vozes, a atitude do público foi de absoluta rendição, o álbum ganhou 23 discos de platina, vendeu 23 milhões de cópias nos Estados Unidos e 30 milhões no resto do mundo. É o álbum duplo mais vendido da História.
Em Portugal, tanto o single como o álbum, estiveram mais de um ano em nº 1 no top de vendas.
Em The Wall, chega o segundo dos traumas da música Floydiana, a morte em combate do pai de Roger Waters, piloto de caças na 2ª Guerra Mundial:
Another Brick In The Wall - Part I:
Daddy's flown across the ocean
Leaving just a memory
A snapshot in the family album
Daddy what else did you leave for me?
Daddy, what do you leave behind for me?
Leaving just a memory
A snapshot in the family album
Daddy what else did you leave for me?
Daddy, what do you leave behind for me?
Vera:
Does anybody here remember Vera Lynn?
Remember how she said that
We would meet again
Some sunny day?
Vera! Vera!
What has become of you?
Does anybody else here
Feel the way I do?
Does anybody here remember Vera Lynn?
Remember how she said that
We would meet again
Some sunny day?
Vera! Vera!
What has become of you?
Does anybody else here
Feel the way I do?
Os Pink Floyd fariam um único concerto do álbum no Earl's Court de Londres, que só seria lançado em 2000, numa edição especial.
Foi lançado também o filme The Wall, realizado por Alan Parker e com Bob Geldof no papel de Pink, naquele que eu penso ser o projecto menos bem conseguido em toda a carreira dos Pink Floyd.
Apesar do estrondoso sucesso do álbum, este marcaria o início do fim dos Pink Floyd, tal como eram. No final das gravações, Roger Waters despede Richard Wright com o argumento de que este não estaria a ser uma mais-valia para o grupo e que tinha o apoio de David Gilmour e de Nick Mason.
Ambos desmentiram o seu apoio a essa decisão.
Em 1983, sai o último álbum dos Pink Floyd com Roger Waters, The Final Cut.
É um projecto levado a cabo completamente por Roger Waters.
Na contracapa, pode ler-se, "The Final Cut: A Requiem for the Post-War Dream - by Roger Waters, performed by Pink Floyd".
Nesta altura, os Floyd já só eram três, sem Richard Wright.
Tanto David Gilmour como Nick Mason foram meros executantes da música de Roger Waters.
Os Pink Floyd, voltam à questão da morte do pai de Waters (o nome completo de Roger Waters é Roger Fletcher Waters).
Com este disco, nasce – pela mão de Waters – o terceiro trauma dos Pink Floyd, a guerra.
Em The Final Cut, cujo título já é sugestivo, a guerra percorre todo o disco, a 2ª Guerra Mundial, a Guerra das Maldinas, a Guerra em geral.
Foi lançado também o filme The Wall, realizado por Alan Parker e com Bob Geldof no papel de Pink, naquele que eu penso ser o projecto menos bem conseguido em toda a carreira dos Pink Floyd.
Apesar do estrondoso sucesso do álbum, este marcaria o início do fim dos Pink Floyd, tal como eram. No final das gravações, Roger Waters despede Richard Wright com o argumento de que este não estaria a ser uma mais-valia para o grupo e que tinha o apoio de David Gilmour e de Nick Mason.
Ambos desmentiram o seu apoio a essa decisão.
Em 1983, sai o último álbum dos Pink Floyd com Roger Waters, The Final Cut.
É um projecto levado a cabo completamente por Roger Waters.
Na contracapa, pode ler-se, "The Final Cut: A Requiem for the Post-War Dream - by Roger Waters, performed by Pink Floyd".
Nesta altura, os Floyd já só eram três, sem Richard Wright.
Tanto David Gilmour como Nick Mason foram meros executantes da música de Roger Waters.
Os Pink Floyd, voltam à questão da morte do pai de Waters (o nome completo de Roger Waters é Roger Fletcher Waters).
The Fletcher Memorial Home:
Take all your overgrown infants away somewhere
And build them a home, a little place of their own.
The Fletcher Memorial
Home for Incurable Tyrants and Kings.
And they can appear to themselves every day
On closed circuit T.V.
To make sure they're still real.
It's the only connection they feel.
(...)
Did they expect us to treat them with any respect?
They can polish their medals and sharpen their
Smiles, and amuse themselves playing games for awhile.
Boom boom, bang bang, lie down you're dead.
Safe in the permanent gaze of a cold glass eye
With their favorite toys
They'll be good girls and boys
In the Fletcher Memorial Home for colonial
Wasters of life and limb.
Is everyone in?
Are you having a nice time?
Now the final solution can be applied.
And build them a home, a little place of their own.
The Fletcher Memorial
Home for Incurable Tyrants and Kings.
And they can appear to themselves every day
On closed circuit T.V.
To make sure they're still real.
It's the only connection they feel.
(...)
Did they expect us to treat them with any respect?
They can polish their medals and sharpen their
Smiles, and amuse themselves playing games for awhile.
Boom boom, bang bang, lie down you're dead.
Safe in the permanent gaze of a cold glass eye
With their favorite toys
They'll be good girls and boys
In the Fletcher Memorial Home for colonial
Wasters of life and limb.
Is everyone in?
Are you having a nice time?
Now the final solution can be applied.
Com este disco, nasce – pela mão de Waters – o terceiro trauma dos Pink Floyd, a guerra.
Em The Final Cut, cujo título já é sugestivo, a guerra percorre todo o disco, a 2ª Guerra Mundial, a Guerra das Maldinas, a Guerra em geral.
The Post War Dream:
Tell me true, tell me why, was Jesus crucified
Is it for this that Daddy died?
Was it for you? Was it me?
Did I watch too much T.V.?
Is that a hint of accusation in your eyes?
If it wasn't for the nips
Being so good at building ships
The yards would still be open on the clyde.
And it can't be much fun for them
Beneath the rising sun
With all their kids committing suicide.
What have we done, Maggie what have we done?
What have we done to England?
Should we shout, should we scream
"What happened to the post war dream?"
Oh Maggie, Maggie what have we done?
Southampton Dock:
They disembarked in 45
And no-one spoke and no-one smiled
There were to many spaces in the line.
Gathered at the cenotaph
All agreed with the hand on heart
To sheath the sacrificial Knifes.
But now
She stands upon Southampton dock
With her handkerchief
And her summer frock clings
To her wet body in the rain.
In quiet desperation knuckles
White upon the slippery reins
She bravely waves the boys Goodbye again.
And still the dark stain spreads between
His shoulder blades.
A mute reminder of the poppy fields and graves.
And when the fight was over
We spent what they had made.
But in the bottom of our hearts
We felt the final cut.
Capa de The Final Cut
Tell me true, tell me why, was Jesus crucified
Is it for this that Daddy died?
Was it for you? Was it me?
Did I watch too much T.V.?
Is that a hint of accusation in your eyes?
If it wasn't for the nips
Being so good at building ships
The yards would still be open on the clyde.
And it can't be much fun for them
Beneath the rising sun
With all their kids committing suicide.
What have we done, Maggie what have we done?
What have we done to England?
Should we shout, should we scream
"What happened to the post war dream?"
Oh Maggie, Maggie what have we done?
Southampton Dock:
They disembarked in 45
And no-one spoke and no-one smiled
There were to many spaces in the line.
Gathered at the cenotaph
All agreed with the hand on heart
To sheath the sacrificial Knifes.
But now
She stands upon Southampton dock
With her handkerchief
And her summer frock clings
To her wet body in the rain.
In quiet desperation knuckles
White upon the slippery reins
She bravely waves the boys Goodbye again.
And still the dark stain spreads between
His shoulder blades.
A mute reminder of the poppy fields and graves.
And when the fight was over
We spent what they had made.
But in the bottom of our hearts
We felt the final cut.
Capa de The Final Cut
O álbum, apesar de na minha opinião conter excelente música, foi o menos vendido dos Pink Floyd desde 1971.
Não só isso, como termina com os Pink Floyd a quatro.
Roger Waters sai para uma carreira a solo com intermináveis processos judiciais para impedir que os outros três Floyds pudessem utilizar o nome Pink Floyd.
Perdeu sempre.
Em 1987, os Pink Floyd regressam sem Roger Waters, mas com um novo álbum, A Momentary Lapse Of Reason, título obviamente dirigido a Roger Waters.
No álbum, os Pink Floyd são mencionados apenas como David Gilmour e Nick Mason, Richard Wright tem o estatuto de músico convidado.
Para baixista, convidam nada mais, nada menos do que Tony Levin.
Canções como a que dá o nome ao álbum, Learning To Fly ou On The Turning Away, foram sucessos imediatos.
Capa de A Momentary Lapse Of Reason
Os Pink Floyd fazem-se à estrada numa digressão mundial em 1988, sempre com estádios esgotados e eu, com 18 anitos e quase sem tusto no bolso, meti-me num combóio para Espanha, onde os fui ver no Estádio do Atlético de Madrid.
Ironia do destino, dei o filme das fotos que tirei no concerto a um colega que estava na tropa em Lisboa, ele pô-las a revelar numa loja de fotografia do Chiado e depois foi o incêndio.
Lá se foram as minhas fotos.
Desta digressão é lançado o duplo álbum ao vivo, Delicate Sound Of Thunder.
Capa de Delicate Sound Of Thunder
Em 1994, é lançado aquele que é até ao momento o último álbum de originais dos Pink Floyd, The Division Bell.
Na minha opinião, é um conjunto de boas canções, mas não está ao nível do que todos esperavam dos Pink Floyd.
Neste disco, Richard Wright já é novamente membro de pleno direito da banda.
Capa de The Division Bell
Este disco daria origem a mais uma digressão mundial em 1994 que passou por Lisboa e esgotou por dois dias consecutivos o já desaparecido Estádio José de alvalade.
Também lá estive :)
Nesta digressão, os Pink Floyd tocaram nos concertos o álbum The dark Side Of The Moon completo.
Viria a dar também origem a um disco da digressão chamado Pulse.
Capa de Pulse
Chega desta forma ao fim (pelo menos até agora) a história dos Pink Floyd, não sem que no ano passado se tivessem voltado a juntar os quatro, 23 anos depois, no concerto Live 8.
De seguida é-lhes feita uma proposta irrecusável, 250 milhões de dólares líquidos para uma digressão com os quatro. Recusaram.
Os fãs dos Pink Floyd ficaram dividos entre aqueles que acham que verdadeiro Pink Floyd é só com Roger Waters e aqueles que também gostam da banda depois da sua saída, o que é o meu caso.
Eu penso que sem tirar qualquer mérito a Roger Waters, os Pink Floyd nunca teriam sido o que foram sem David Gilmour, a sua guitarra e voz também.
A sonoridade e o estilo de tocar David Gilmour são absolutamente inconfundíveis e são também imagem de marca dos Pink Floyd.
Qual é o fã que não sabe de cor o solo de Comfortably Numb, Another Brick In The Wall - Part II ou Shine On You Crazy Diamond, só para citar alguns exemplos ?
Por outro lado, David Gilmour canta algumas das mais emblemáticas canções dos Pink Floyd, Time, Money, Dogs, o refrão de Comfortably Numb, etc.
Algum fã imagina o Time ou o Dogs cantada pelo Roger Waters ?
Não, pois não ?
O próprio Waters também não, pelo menos a julgar pelos seus concertos ao vivo em que são elementos da banda e não ele que as cantam.
Se o Roger Waters foi o cérebro dos Pink Floyd, David Gilmour foi o coração.
Tanto o Roger Waters como o David Gilmour têm carreiras a solo muito interessantes, mas fica para outro artigo que este já vai longo :)
Não só isso, como termina com os Pink Floyd a quatro.
Roger Waters sai para uma carreira a solo com intermináveis processos judiciais para impedir que os outros três Floyds pudessem utilizar o nome Pink Floyd.
Perdeu sempre.
Em 1987, os Pink Floyd regressam sem Roger Waters, mas com um novo álbum, A Momentary Lapse Of Reason, título obviamente dirigido a Roger Waters.
No álbum, os Pink Floyd são mencionados apenas como David Gilmour e Nick Mason, Richard Wright tem o estatuto de músico convidado.
Para baixista, convidam nada mais, nada menos do que Tony Levin.
Canções como a que dá o nome ao álbum, Learning To Fly ou On The Turning Away, foram sucessos imediatos.
Capa de A Momentary Lapse Of Reason
Os Pink Floyd fazem-se à estrada numa digressão mundial em 1988, sempre com estádios esgotados e eu, com 18 anitos e quase sem tusto no bolso, meti-me num combóio para Espanha, onde os fui ver no Estádio do Atlético de Madrid.
Ironia do destino, dei o filme das fotos que tirei no concerto a um colega que estava na tropa em Lisboa, ele pô-las a revelar numa loja de fotografia do Chiado e depois foi o incêndio.
Lá se foram as minhas fotos.
Desta digressão é lançado o duplo álbum ao vivo, Delicate Sound Of Thunder.
Capa de Delicate Sound Of Thunder
Em 1994, é lançado aquele que é até ao momento o último álbum de originais dos Pink Floyd, The Division Bell.
Na minha opinião, é um conjunto de boas canções, mas não está ao nível do que todos esperavam dos Pink Floyd.
Neste disco, Richard Wright já é novamente membro de pleno direito da banda.
Capa de The Division Bell
Este disco daria origem a mais uma digressão mundial em 1994 que passou por Lisboa e esgotou por dois dias consecutivos o já desaparecido Estádio José de alvalade.
Também lá estive :)
Nesta digressão, os Pink Floyd tocaram nos concertos o álbum The dark Side Of The Moon completo.
Viria a dar também origem a um disco da digressão chamado Pulse.
Capa de Pulse
Chega desta forma ao fim (pelo menos até agora) a história dos Pink Floyd, não sem que no ano passado se tivessem voltado a juntar os quatro, 23 anos depois, no concerto Live 8.
De seguida é-lhes feita uma proposta irrecusável, 250 milhões de dólares líquidos para uma digressão com os quatro. Recusaram.
Os fãs dos Pink Floyd ficaram dividos entre aqueles que acham que verdadeiro Pink Floyd é só com Roger Waters e aqueles que também gostam da banda depois da sua saída, o que é o meu caso.
Eu penso que sem tirar qualquer mérito a Roger Waters, os Pink Floyd nunca teriam sido o que foram sem David Gilmour, a sua guitarra e voz também.
A sonoridade e o estilo de tocar David Gilmour são absolutamente inconfundíveis e são também imagem de marca dos Pink Floyd.
Qual é o fã que não sabe de cor o solo de Comfortably Numb, Another Brick In The Wall - Part II ou Shine On You Crazy Diamond, só para citar alguns exemplos ?
Por outro lado, David Gilmour canta algumas das mais emblemáticas canções dos Pink Floyd, Time, Money, Dogs, o refrão de Comfortably Numb, etc.
Algum fã imagina o Time ou o Dogs cantada pelo Roger Waters ?
Não, pois não ?
O próprio Waters também não, pelo menos a julgar pelos seus concertos ao vivo em que são elementos da banda e não ele que as cantam.
Se o Roger Waters foi o cérebro dos Pink Floyd, David Gilmour foi o coração.
Tanto o Roger Waters como o David Gilmour têm carreiras a solo muito interessantes, mas fica para outro artigo que este já vai longo :)
tags: música
Os comentários são da exclusiva resonsabilidade dos seus autores.
Mário Gamito, 2004 - 2007
Todos os direitos reservados.
Mário Gamito, 2004 - 2007
Todos os direitos reservados.
Mais sobre mim
pesquisar neste blog
Janeiro 2008
Dom
Seg
Ter
Qua
Qui
Sex
Sab
1
2
3
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Posts recentes
Arquivos
Contacto
gamito@gmail.com
No Planeta Geek
tags
subscrever feeds
