Blog do Brandi

Acredito que todos que acompanham meu blog sabem que eu jogo a 8 anos um MMORPG de ficção cientifica com temática espacial chamado Eve-Online , certo?

A alguns meses atrás decidi criar uma corporação (equivalente a uma guild/clan em outros jogos) para reunir amigos interessados em jogar em espaço nullsec e praticar PVP, e até o momento estou bastante feliz com o resultado, e continuo buscando novos pilotos para o grupo.

Por este motivo estou postando aqui um pequeno descritivo de qual o funcionamento deste grupo de jogo e sobre quais os beneficios que oferecemos para quem participa dele, como diriam nas discussões sobre RPG, um “jabá” aqui do blog em relação ao meu hobby favorito.

#############################################

Aliste-se nas Forças Armadas – Venha se divertir conosco

A Forças Armadas [FORCA] é uma corporação formada por jogadores brasileiros de Eve-Online, e tem como seu principal foco a prática de PVP de pequena e média escala, operando sob regras de NBSI.

Atualmente estamos baseados na região de Syndicate (espaço 0.0 NPC), mais especificamente em Low Syndicate (constelações de MK7-AO e JQV5-9) e temos nossa base de operações o sistema de IIRH-G.

Nós estamos recrutando pilotos que tenham interesse em aprender e praticar PVP, sabemos por experiencia própria que esta transição nem sempre é simples e por este motivo oferecemos apoio financeiro (subsidio ingame) e treinamento aos pilotos que atualmente jogam apenas PVE mas que querem passar a se divertir com PVP.

Ao ingressar nas Forças Armadas você terá diversos beneficios, dentre eles:

* Acesso a espaço 0.0 com estações NPC, nunca mais corra o risco de ficar sem acesso aos seus assets;
* Acesso a espaço 0.0 rico em atividades de PVP para small/medium gangs, nada de “blob warfare” ou de CTAs obrigatórias;
* Acesso a um programa de reposição de Naves, que subsidia em até 50% o custo da Nave+Fit, para uso em nossas operações de PVP;
* Operações diárias de PVP, lideradas por FCs experientes nesta modalidade de jogo;
* Acesso a sites de exploração em 0.0;
* Acesso a Agentes Level 4 de missão de combate, beneficios de espaço 0.0 com comodidade de espaço high sec;
* Acesso a minérios High End;
* Acesso a planetas para prática de PI, ótima fonte de renda passiva para subsidiar suas naves de combate;
* Acesso ao Killboard da Aliança;
* Acesso ao TeamSpeaker da Aliança, converse com outros jogadores no seu proprio idioma;
* Acesso ao Forum da Aliança;
* Apoio logistico para transporte de seus assets entre o Imperio e Syndicate;

Caso tenha duvidas do tipo de pvp que praticamos, faça uma visita ao nosso Killboard o mesmo encontra-se disponivel no endereço http://moonwarriors.killmail.org/

Se você já esta em uma corporação de brasileiros, saiba que a FORCA é a executora da Aliança Moon Warriors [M.O.W], e nossas portas estão abertas a corporações que estejam buscando residência em espaço 0.0.

Para maiores informações entre em contato ingame com um dos pilotos abaixo que teremos prazer em agendar uma entrevista com você.

Stromgren
Typhena
Giggmaster
Tyffanny
John Rikko
Zebarmy
Titimo

Agradecemos seu interesse

[ ]´s Stromgren

Já tem mais de 3 semanas que o serviço de cloud computing da Amazon passou por problemas e ainda vejo pessoas reclamando, e afirmando que este tipo de serviço não é confiável, isso me irrita um pouco pois estas pessoas ainda não entenderam que parte da culpa por terem ficado “fora do ar” é delas.

O conceito de cloud computing parte do principio que a redundância deixa de ser provida pelo hardware (que passa a ser commodity justamente para proporcionar o menor custo) e passa a ser responsabilidade do seu software e das suas aplicações.

Não podemos tratar um servidor na nuvem como se fosse mais um servidor num datacenter tradicional e infelizmente é isso a maioria das pessoas faz, muitas vezes até de forma inconsciente.

Se formos fazer uma analogia é como pular de paraquedas, ninguem em sã consciência pega um avião e depois de estar a 5.000 metros de altitude pula sem ter passado por um treinamento prévio, sem entender as consequências do que pode acontecer se algo der errado e principalmente sem ter um plano B no caso de um problema com o para quedas principal.

Em resumo, não migre seus serviços para uma estrutura de nuvem publica se não entender a consequência do que está fazendo, e principalmente sem estar preparado para uma pane no seu provedor de serviços, pois por mais que ele te ofereça SLA de 99.999999% , um dia ele vai falhar.

[ ]s´Edson

Ano passado eu postei um howto básico de como configurar um servidor de VPN usando uma maquina virtual rodando Ubuntu 10.04 e pptpd, apesar de simples e funcional uma VPN baseada em PPTP não é a melhor opção quando:

• Você precisa de um nível mais alto de segurança  (que faça por exemplo uso de pares de chaves publica/privada);
• Você precisa de uma VPN capaz de suportar de forma estavel e performática um alto volume de tráfego (por exemplo para assistir videos em alta definição ou para downloads);
• Você irá se conectar ao seu servidor de VPN a partir de um cliente que está atrás de um NAT. O item campeão de reclamações dos usuários de  VPNs baseadas em transporte por PPTP que é a deficiencia do mesmo no atravessamento de NAT,  para que  uma VPN PPTP funcione atrávés de um NAT, a implementação do mesmo precisará ser capaz de realizar o mascaramento do protocolo GRE e nem todos os roteadores “domésticos” são capazes disso;

Para atender estas necessidades “diferenciadas” eu venho utilizando com sucesso nestes ultimos meses o OpenVPN, o qual possui suporte para equipamentos rodando Windows, Linux, *BSD, MacOS, IOS, etc.

Existem 2 versões do OpenVPN disponiveis, uma versão gratuita (OpenVPN Community Edition) e uma versão paga (OpenVPN Access Server), você pode ver uma tabela comparativa de funcionalidades no site do desenvolvedor.

Sei que algumas pessoas podem discordar, mas na minha opinião a versão paga é a que oferece a melhor relação custo beneficio, pois ela permite até 2 conexões simultaneas (numero que atende a maior parte dos usuários domésticos),  custo da licença perpétua por conexão adicional é de apenas US$ 5,00 (com uma taxa anual de manutenção de US$ 1,00) e interface web para gerenciamento  extremamente amigavel.

Por todos estes motivos o tutorial abaixo vai se basear na versão paga do OpenVPN.

Para montar o nosso servidor vamos utilizar mais uma vez uma maquina virtual rodando Ubuntu 10.04 contratado no serviço de Cloud da RackSpace, caso você não conheça o serviço deles recomendo que veja este post que fiz em 2009, na época em que este serviço ainda se chamava Mosso. Venho usando sem problemas como servidor de VPN uma VM com 256 Mb de memoria, o que representa um custo fixo mensal de US$ 10,95 mais um custo váriavel de US$ 0,26 por Gb trafegado.

O processo de instalação do OpenVPN Access Server é extremamente simples, basta seguir os passos abaixo:

1. Certifique-se que o seu sistema operacional está atualizado:

# apt-get update
# apt-get upgrade

2. Faça o download do arquivo de instalação do OpenVPN Access Server:

# wget http://swupdate.openvpn.net/as/openvpn-as-1.7.1-Ubuntu9.amd_64.deb

3. Instale o aplicativo:

# dpkg -i openvpn-as-1.7.1-Ubuntu9.amd_64.deb
Selecting previously deselected package openvpn-as.
(Reading database ... 15099 files and directories currently installed.)
Unpacking openvpn-as (from openvpn-as-1.7.1-Ubuntu9.amd_64.deb) ...
Setting up openvpn-as (1.7.1-Ubuntu9) ...
The Access Server has been successfully installed in /usr/local/openvpn_as
Configuration log file has been written to /usr/local/openvpn_as/init.log
Please enter "passwd openvpn" to set the initial
administrative password, then login as "openvpn" to continue
configuration here: https://seu.ip.publico:943/admin
To reconfigure manually, use the /usr/local/openvpn_as/bin/ovpn-init tool.

Access Server web UIs are available here:
Admin  UI: https://seu.ip.publico:943/admin
Client UI: https://seu.ip.publico:943/
#

4. Defina uma senha para o usuário administrador do Openvpn

# passwd openvpn
Enter new UNIX password: senha-desejada
Retype new UNIX password: senha-desejada
passwd: password updated successfully
#

Neste ponto o servidor já está instalado e operacional, por default ele vai ser instalado com as  opções  abaixo as quais podem ser alteradas via interface administrativa ou pela linha de comando:

• O servidor irá operar como servidor primário (as outras opções seriam backup e standby);
• O acesso a intercafe administrativa estará habilitada no IP publico do servidor;
• A porta default usada para a interface administrativa será TCP/ 943;
• A porta default usada para o OpenVPN será TCP/443;
• O usuário terá 100% do seu trafego roteado através da VPN, incluindo seu tráfego de DNS;
• O método padrão de autenticação será PAM (usuários serão válidados contra o seu /etc/passwd);
• O usuário terá acesso as subnets privadas definidas na RFC1918;
• O login do administrador do OpenVPN será “openvpn” (com a senha que vc setou acima);
• O seu firewall iptables será configurado com as regras necessárias para o OpenVPN funcione;

A gestão o OpenVPN Access Server é feita 100% através de uma interface web bastante simples e intuitiva, para acessá-la basta visitar a url de administração informada  no final da etapa de instalação, nela você poderá alterar todos os parametros default mencionados acima.

5. Crie seus usuários no OpenVPN

Para começar a utilizar seu servidor de VPN a unica coisa que você vai precisar fazer é criar e habilitar seus usuários, apesar de simples não me agrada muito autenticar os usuários usando PAM, afinal não queremos que os usuários tenham contas no servidor, uma opção simples é mudar o método de autenticação para utilizar o database interno do OpenVPN.

Para isto basta entrar na interface administrativa, e no menu lateral esquerdo clicar na opção “General” sob a sessão “Authentication“, na tela seguinte, no campo “Authenticate users using:“  basta selecionar a opção “Local” e clicar em save settings. Se você for utilizar o OpenVPN na sua empresa pode ser interessante optar por autenticar seus usuários via Radius ou mesmo via LDAP.

Agora já podemos adicionar nossos usuários, para isso basta clicar na opção “User Permissions” no menu lateral, logo abaixo da sessão “User Management“, ao fazer isso você irá visualizar a seguinte tela:

Nesta tela, basta clicar na opção “Show” na coluna “More Settings” da linha “New Username“, ao fazer isso o formulário irá expandir ficando como abaixo:

Nesta tela você deverá informar o login e a senha desejada para o usuário, bem como especificar se o usuário terá o seu IP atribuido de forma dinâmica ou estática, se ele irá utilizar NAT ou se irá ser simplesmente roteado. Você tem ainda a opção de especificar quais redes este usuário poderá acessar e bem como quais redes (e usuários conectados ao servidor de VPN) podem acessar o usuário.

Caso este cliente seja um gateway de interligação permanente por exemplo entre entre 2 escritórios, vc deverá habilitar a opção de VPN Gateway.

Por default todo tráfego de entrada destinadas a um cliente utilizando NAT são bloqueadas, se precisar que um determinado cliente receba conexões de entrada você terá que habilitar e configurar a opção de DMZ.

Depois de preencher os campos adequados, basta clicar em “Save Settings” para finalizar a criação do usuário.

6. Conecte-se ao seu servidor

O processo para se conectar ao servidor é extremamente simples, basta orientar seus usuários a acessarem via https o ip do seu servidor OpenVPN, ao fazer isso eles irão visualizar a seguinte tela de login:

Nesta tela o usuário deverá entrar com seu usuário e senha, selecionar a opção “Login” e clicar em “Go“. Na tela seguinte o sistema irá exibir as informações necessárias para conexão:

Como podem perceber existem 2 opções para os usuários do sistema operacional windows, eu recomendo que oriente o usuário a efetuar o download e a instalação do “OpenVPN Desktop Client for Windows” por ser o mais facil de ser utilizado.

Depois de instalar o aplicativo o usuário deverá efetuar o download do seu profile, clicando no link “Yourself (User-locked profile)“, este arquivo deve ser copiado para osub diretorio “Config” existente dentro no diretorio no qual o OpenVPN client foi instalado.

Ao executar o aplicativo cliente (é necessário executá-lo como administrador), você irá visualizar um pequeno icone com 2 monitores vermelhos no seu system tray, como o mostrado abaixo

Para se conectar basta clicar neste icone com o seu botão direito, e clicar em “Connect“. Caso você tenha mais de um profile instalado (para mais de um servidor por exemplo), você irá visualizar uma lista com os servidores disponiveis:

Ao clicar em “Connect“, o usuário será solicitado que entre com o seu login e senha:

Quando a conexão for completada, o icone do system tray irá mudar de vermelho para verde. Para desconectar basta clicar novamente nele com o botão direito e escolher “Disconnect“.

7. Estatisticas de uso do servidor de VPN

Pela interface administrativa do servidor você poderá acompanhar o consumo de banda por parte dos usuários, para isso basta clicar no item de menu “Log Reports” ou “Current users“.

Bom era isso, espero que o tutorial seja util para vocês.

[]´s Edson

A algum tempo atrás eu li um texto num blog que achei legal, pois passava uma mensagem importante para nós que atuamos como gestores…
Infelizmente não guardei a fonte para poder dar os devidos créditos, mas mesmo assim gostaria de deixar a mensagem aqui para vocês.

O parafuso certo…

Um especialista em informática, foi chamado para consertar um computador muito grande e extremamente complexo, que valia em torno de 12 milhões de reais.

Sentado na frente do monitor, o especialista mexeu em algumas teclas, balançou a cabeça, murmurou algo para ele mesmo, pegou uma pequena chave de fenda do bolso, deu a volta no equipamento e apertou um minúsculo parafuso.

Então, ligou o computador e o mesmo funcionou perfeitamente.

O presidente da empresa se mostrou surpreso e satisfeito e se ofereceu para pagar o serviço à vista.

- Quanto te devo? – Perguntou.

O especialista respondeu:

- São mil reais pelo serviço.

O presidente, indignado, perguntou:

- Mil reais? Mil reais por alguns minutos de trabalho? Mil reais só para apertar um simples parafuso? Eu sei que meu computador vale 12 milhões de reais, mas mil reais por 5 minutos do seu trabalho é muito dinheiro. Vou pagar somente se você me mandar uma fatura detalhada que justifique o valor.

O especialista concordou e foi embora.

Na manhã seguinte, o presidente recebeu a fatura.
Leu o documento com cuidado, balançou a cabeça e a pagou na hora.

A fatura dizia:

SERVIÇOS PRESTADOS

Apertar um parafuso – R$ 1,00
Saber qual parafuso apertar – R$ 999,00

A dica da semana é sobre como configurar o WordPress para autenticação de 2 fatores usando HOTP, de forma que você possa aumentar a segurança no acesso administrativo ao seu blog.

O processo de configuração na verdade é bastante simples, e consiste basicamente de apenas 3 etapas, sendo elas instalação de um Soft Token (no meu caso eu uso um para iPhone), configuração do apache e  instalação de um plugin no wordpress.

Etapa 1 – O Soft Token

Se você fizer uma busca na AppStore da Apple irá encontrar uma grande quantidade de soft tokens, a principio qualquer software que siga a RFC 4226 irá funcionar, o software que eu utilizo é gratuito e se chama OATH Token , uma vez instalado a configuração é super simples e leva menos de 15 segundos. Ao executar o programa, clique no sinal de “+” localizado no canto superior direito do aplicativo, e será exibida a tela abaixo:

Nesta tela você deve atribuir um identificador ao seu token, no exemplo usei “Meu Token”, em seguida você deve gerar a sua chave de segurança, para isso clique algumas vezes no botão “Generate Randon Key”. Você irá precisar desta chave na configuração do webserver, então copie a mesma, e envie para você mesmo por e-mail

Agora devemos escolher se o nosso token será baseado em um contador de eventos ou em epoch time, esta escolha é importante pois afetará a forma como seu token irá funcionar.

Se você escolher a opção “Event Based”, cada vez que você usar o aplicativo e gerar uma senha OTP o contador será incrementado, se você gerar senhas e não utilizá-las o seu softtoken irá perder a sincronia com o seu servidor e você não irá mais conseguir se autenticar, sendo necessário resincronizar o Soft Token e o componente de autenticação no servidor.

Se você escolher a opção “Time Based”, o aplicativo irá gerar uma nova senha automaticamente a cada X segundos (definido nesta mesma tela), e o fator de sincronismo será o epoch time do seu dispositivo e o do seu servidor. Deste que a data e hora em ambos esteja sincronizada você não terá problemas de sincronismo por gerar senhas e não utiliza-las. Como o problema de sincronismo de horario é algo que você consegue resolver colocando um simples ntpdate no cron do seu servidor, eu recomendo que você escolha a opção de token baseada em tempo.

Feita esta escolha, os próximos items a serem definidos são a janela de tempo após a qual o software irá gerar uma nova senha, sugiro utilizar 30 segundos. O numero de digitos da senha OTP que vai ser gerada, sugiro utilizar 6 digitos. Para simplificar nossa vida na hora de digitar a senha vamos manter a opção de exibir a senha em Hexadecimal desabilitada.

E por ultimo você tem a opção de “travar” o token que esta criando impedindo que ele seja editado no futuro, o que é muito util se você desconfia que alguém com acesso fisico ao seu telefone pode tentar copiar a sua chave secreta. No nosso exemplo esta opção foi ativada.

Abaixo você pode ver uma tela do nosso novo token em funcionamento:

Etapa 2 – O Webserver (Apache 2.X)

Agora que já temos um token HOTP funcional, precisamos configurar o componente de autenticação que vai rodar do lado do servidor. Existem diversas formas de implementar este componente do lado do servidor mas o mais simples é através da instalação de um modulo especifico no webserver, no caso deste tutorial vamos usar o Apache 2.X.

O nome do módulo para o Apache 2.X que implementa autenticação HOTP é o mod-authn-otp , ele não é instalado por default com o webserver e terá que ser compilado manualmente. O download do código fonte do módulo por ser feito no url abaixo:

http://mod-authn-otp.googlecode.com/files/mod_authn_otp-1.1.1.tar.gz

Para compilá-lo você irá precisar do código fonte do apache (obrigatoriamente da mesma versão que vc já esta rodando), e do código fonte do openssl.

Ao descompactar o arquivo será criado o diretorio mod_authn_otp-1.1.1, dentro dele você vai encontrar o arquivo INSTALL que tem as instruções de como compilar o módulo, como podem imaginar o processo consiste basicamente num:

# ./configure
# make
# make install

Se compilando desta forma você receber algum erro ao iniciar o seu webserver, recomendo que execute a compilação do módulo usando o apxs:

# tar xzvf mod_authn_otp-1.1.1.tar.gz
# cd mod_authn_otp-1.1.1
# apxs -c mod_authn_otp.c
# apxs -i -a -n "authn_otp" mod_authn_otp.la
# /etc/init.d/httpd restart

O próximo passo é editar a configuração do apache e incluir as diretivas no httpd.conf que vão “proteger” com a autenticação OTP o acesso administrativo do seu wordpress, ou seja, devemos restringir o acesso basicamente ao diretorio wp-admin, e dependendo da sua necessidade também ao arquivo wp-login.php:

<FilesMatch "wp-login\.php$">
AuthType basic
AuthName "Area Restrita"
AuthBasicProvider OTP
Require valid-user
OTPAuthUsersFile /usr/local/www/otp/mod_auth_otp
OTPAuthMaxOffset 6
OTPAuthMaxLinger 3600
</FilesMatch>

<Location /wp-admin>
AuthType basic
AuthName "Area Restrita"
AuthBasicProvider OTP
Require valid-user
OTPAuthUsersFile /usr/local/www/otp/mod_auth_otp
OTPAuthMaxOffset 6
OTPAuthMaxLinger 3600
</Location>

Se você preferir as mesmas diretivas podem ser ativadas através de um .htaccess ao invés de serem inseridas diretamente no httpd.conf.

Acima coloquei em vermelho os 3 parametros que você deve configurar de acordo com a sua necessidade:

• OTPAuthUsersFile – Arquivo no qual você irá manter os dados dos usuários. O usuário que roda seu webserver precisa de permissão de escrita neste arquivo, pois ele será alterado sempre que um usuário se logar;
• OTPAuthMaxOffset – Qual a diferença em segundos para mais ou para menos que você aceita entre o token e o servidor;
• OTPAuthMaxLinger – Segundos após o qual o usuário terá que se autenticar novamente.

Agora que já incluiu as diretivas na configuração do seu webserver é hora de criar o arquivo com os seus usuários, o formato do arquivo é bem simples, sendo composto inicialmente por 4 colunas separadas por espaço em branco:

• Tipo do token – No nosso caso vamos usar HOTP/T30 (token baseado em tempo de 30 segundos, com 6 digitos);
• Username -  Utilize o mesmo login que você usa no WordPress;
• PIN – Especifique uma senha alfa numerica para digitar antes da senha OTP, se quiser usar apenas a senha OTP use – nesta coluna;
• Chave secreta do token – Insira nesta coluna a chage randômica que você criou la no seu soft token.

Ou seja, a linha para um usuário recem adicionado seria parecida com esta:

HOTP/T30    login1         w3Ro    a4d8acbddef654fccc418db4cc2f85cea6339f00

De forma que se o Soft Token estiver exibindo a senha 486842, a senha que o usuário login1 teria que utilizar para se autenticar no webserver  seria w3Ro486842.

Quando o usuário realizar sua primeira autenticação o webserver irá editar o arquivo acima, adicionando outras 3 colunas:

• Offset atual, para que você saiba o quão sincronizado está o relógio do token e o relógio do servidor;
• A senha OTP que foi inserida pelo usuário
• A data e hora da ultima autenticação

A linha deste arquivo para o usuário login 1 após a sua primeira autenticação seria parecida com esta:

HOTP/T30    login1         w3Ro    a4d8acbddef654fccc418db4cc2f85cea6339f00   1      486842    2011-02-14T21:17:03L

Na documentação disponível do  site do mod_authn_otp você encontra maiores detalhes sobre os tipos de token suportados pelo módulo.

Agora que já completamos a configuração, restarte seu webserver e verifique se você está conseguindo se autenticar usando o seu token ao tentar acessar o diretorio wp-admin.

Etapa 3 – O WordPress

Agora que já temos o token e o servidor configurados para se autenticar usando o sistema HOTP,você pode optar por parar aqui, ou seja, você prefere se autenticar 2 vezes, uma com o token no Apache e outra depois no wordpress (/Paranoia Mode On).

Ou então você pode optar por configurar o wordpress para utilizar apenas a autenticação do apache, o que para muitos já vai ser seguro o suficiente considerando que a senha vai mudar a cada 30 segundos.

Se você optar por utilizar apenas a autenticação do Apache, você deve instalar no seu WordPress o plugin HTTP Authentication.

A configuração dele é bem simples, bastando criar no wordpress um usuário com o mesmo login que o que você especificou na autenticação do apache, no nosso exemplo, bastaria criar um usuário no wordpress com o campo Nickname igual a login1.

Observe que uma vez que este plugin for ativado todo usuário que você editar o profile vai ter a sua senha nativa no wordpress alterada para uma senha aleatória, afinal você não vai mais precisar dela, se no futuro você decidir parar de utilizar a autenticação OTP, basta usar a funcionalidade do wordpress de resetar a senha (depois de desabilitar o mod_authn_otp)  para poder acessar novamente seu blog.

Não disse que era simples

Espero que o tutorial seja util a vocês.

[ ]´s Edson

Como o twitter restringe o texto em 140 caracteres vou postar por aqui mesmo a frase da semana

“Good management is the art of making problems so interesting and their solutions so constructive that everyone wants to get to work and deal with them.” (Paul Hawken)

Boa semana a todos!

[ ]´s Edson