Primeiro dia, cheguei mais o fike já no final da palestra sobre MeeGo, mas nem senti muito porque o assunto não é láááá esse meu interesse todo (ojeriza a QT dá nisso). Eu meio que assisti a fala do Ian Pratt do Xen Project sobre os novos rumos do Xen e quando terminou tudo que eu conseguia pensar era em KVM. Ele meio que me perdeu quando mostrou a Virtualização para Notebooks. A idéia é boa? É boaish… Mas tem formas menos overkill de implementar, me parece.

A keynote seguinte foi o bate papo entre Linus Torvalds, Andrew Morton e Jim Zemlin da Linux Foundation, foi bem interessante, cheio de coisa que estamos carecas de saber mas que imagino tenha sido a primeira vez que muita gente tenha visto e em alguns casos como o meu foi a primeira vez que eu vi ao vivo, como por exemplo o fato do Linus ser um tosco Mas ele fez o que pode para ser simpático e vencer a timidez que lhe é característica, imagino que por ser uma das raras visitas ao Brasil ele se dobrou para ser um pouco mais public relations, deu autógrafos, posou para algumas fotos (não para todas, tinha muita gente).

Andrew Morton, coredump e boné do debian

O Andrew Morton foi menos assediado, consegui uma foto com ele para minha coleção tiete.

O problema do assédio é bem complicado. Por um lado, o Linus tinha de entender que existem pessoas que vão tentar tirar fotos e conversar e pedir autógrafos e tal. Pelo outro lado, isso deve ser um SACO, e a incapacidade de se locomover por um evento pode ser um ótimo motivo para nunca mais voltar. Na verdade, me disseram que na convenção da Austrália espalharam cartazes pedindo para não aporrinharem demais o coitado se quisessem que ele voltasse.

Vem com a fama. Não imagino que ele queria ser famoso quando ele escolheu ser programador na verdade. Como ele mesmo disse, ele só escolheu uma profissão que garantiria que ele sempre teria dinheiro pra viver

Linus, cercado e autografando

Depois do almoço acabei perdendo a palestra do Jon Corbet, no finalzinho que peguei ele falava sobre System Tap e performance counters no Linux, boas novidades para quem sente falta de um dtrace de gente grande como nós pobres sysadmins.

A palestra do Jeremy Allison foi uma grata surpresa. Ele trabalha no Google com Samba,  estava no evento como representante do projeto e é um dos criadores da parada. Ele falou muito sobre como usar o Samba em dispositivos embarcados ou produtos próprios, como interagir (e como não interagir) com o Dev Team do Samba. Também falou da preocupação com a segurança e de alguns projetos interessantes, como uma empresa (não citada) que está trabalhando com o Samba 4 para fornecer uma solução completa de substituição do Active Directory e um projeto que ele está trabalhando no Google, que também usa Samba 4 e que, de acordo com ele, se contasse teria de nos matar depois. Mas só o prospecto de Samba 4 + Google dá o que pensar né?

Abordei ele depois da palestra para conversar sobre Samba e consegui uma boa confirmação de que a versão atual no git HEAD do projeto já consegue substituir um AD com um número razoável de usuários (1500-2000) desde que não tenha relações de confiança demais, com sucesso, e que mais ou menos no meio do ano que vem o Samba 4 deve estar sendo lançado.

Chupa. Active. Directory.

Depois dessa palestra eu fiquei mais zanzando e fazendo um networking com uns conhecidos que eu não via a tempos. Otávio,  e faw do Debian, andrelop, Luiz Blanes, Corinto Meffe, Deivi Khun (esse é meu vizinho na verdade), Julio Neves, e por ai vai.

Cena engraçada e frase punk do dia:

Otávio, fike, eu, faw, andrelop e mais uns chegados parados conversando e combinando uma churrascaria

Camarada da Organização:

- E ai, vocês vão no jantar dos famosos?

Todo mundo se entreolha, faw responde:

- Claro que não, você está olhando pro chão de fábrica do software livre.

Amanhã, último dia e volta pra casa. Cheio de idéias! Compra-se dia de 30 horas para implementá-las todas!

intel

Para quem não sabe, o FISL mudou a avaliação esse ano. Basicamente, organizaram as palestras em duplas, como se fosse um campeonato, e todo mundo que submeteu palestras ganhou tokens para avaliar 5 palestras, funcionando como um campeonato de Xadrez: você podia escolher qual das duas palestras “ganhava” entre as duas avaliadas, se “empatava” ou ainda podia pular aquelas duas e ir para outras palestras.

Os problemas na minha opinião começam exatamente na opção de ‘pular’ as palestras. Com isso eu pude simplesmente ficar pulando as palestras até cair em uma que eu conhecesse o palestrante ou o assunto e escolhesse aquela. Eu espero que o sistema tenha sido desenhado de forma que todas as palestras recebessem o mesmo número de votos!

O outro problema é que essa forma de avaliação virou um concurso de popularidade. Obviamente as pessoas escolheram palestras de pessoas que conheciam, ou de assuntos extremamente populares mas não necessariamente relevantes.

Alguns exemplos: Se você usa Java, o FISL não vai ser um lugar interessante para você. Das 20 palestras na trilha PHP/Java, só 3 falam de Java. Na trilha de assuntos emergentes, 5 das 10 palestras são sobre Cloud Computing e 2 sobre virtualização (que é bem ali, pregado em Cloud Computing).

Esse efeito parece ser menos acentuado nas trilhas mais especializadas, como a de Kernel e a de Segurança, mas mesmo assim o que se observa é que os assuntos ‘populares’ foram escolhidos a revelia de assuntos que poderiam ser interessantes, mas que os ‘avaliadores’ (palestrantes) não tinham como julgar.

Por exemplo, na trilha de Desenvolvimento (outras linguagens) você tem palestras sobre Javascript, MySQL Stored Procedures e  Shell Script, mas deixaram palestras sobre Clojure, Scala e C de fora. Isso só demonstra que as pessoas que estavam avaliando estavam pensando no pop, não no realmente interessante. Se você analisar bem as trilhas, vai ver que as palestras escolhidas são sempre as que apresentam uma solução (nem sempre nova), enquanto as que são de aprofundamento em algum assunto ou ferramenta são largadas de lado.

Isso vai de encontro ao que se espera do FISL: palestras que mostrem para quem já trabalha na área temas tecnicamente atraentes ou assuntos populares/básicos? Precisamos realmente de tantas palestras de PHP e Cloud Computing, deixando de fora assuntos não populares mas extremamente interessantes? Eu preferiria ver palestras sobre novas linguagens como Scala e Clojure do que MAIS UMA palestra sobre Shell Script, mas aparentemente eu sou a minoria

Acho que é muito bonito isso de ‘democratizar a escolha das palestras’, mas ainda acho que esse tipo de coisa tem de ser resolvida na base de benevolent dictatorship mesmo, ou pelo menos uma forma de garantir que um certo nível de homogeneidade seja mantida.

intel

PS: Claro, a sempre presente palestra “Mulheres e Software Livre” está lá de novo esse ano. É quase uma presença tão garantida quanto o Maddog.

Olá José,
Acabei de ler o texto que você escreveu perguntando sobre a origem da música “Raimundo, O coveiro”… em 13 de agosto de 2008…

Bom, você pode acreditar ou não…
Mas quem compôs esta música foi meu tio Aureo Delábio Ferraz, que faleceu no ano de 1984…
Meu tio apresentou esta música num festival de música na UnB, na época que ele era estudante aqui em Brasília, desde então a música ficou conhecida… Você pode ver que ele se formou na UnB em Engenharia Civil, coloca o nome dele no google que sai…
Infelizmente é a unica citação dele no google.
Meu tio faleceu quando era muito jovem num acidente de carro e em uma época que não havia internet, assim a música ficou na memória de muitos, mas o nome dele e a banda não… Inclusive várias pessoas plagiaram a música e disseram que a música era dos mesmos..
Eu não conheci meu tio, nasci em 1987, mas ouço esta música desde que era muito pequena, assim como outras que meu tio fez (Meleca no almoço, meleca no jantar, meleca tá virando prato popular….)…
Hoje, no aniversário de Brasília, acho que devo este favor ao meu querido tio…

Então…. A letra que você colocou no seu texto é uma versão plagiada, a versão original é esta…

Letra original
Raimundo Coveiro

Era um coveiro com cara de defunto
Era um coveiro que se chamava Raimundo
Raimundo, Raimundo, levanta vagabundo
Raimundo, Raimundo, chegou mais um defunto
Até as caveira já o conheciam
Até as caveira já diziam todo dia
Raimundo, Raimundo, levanta vagabundo
Raimundo, Raimundo, chegou mais um defunto
mas um belo dia Raimundo adoeceu
E de repente Raimundo morreu
Raimundo, Raimundo, bem vindo ao nosso mundo
Raimundo, Raimundo, vem pr’esse buraco fundo
E no cimitério Raimundo se enturmou
Pela sua vizinha Raimundo se apaixonou
Era uma caveira alta e desdentada
Pelo tal Raimundo ficou louca apaixonada
Raimundo, Raimundo, teu olhar é tão profundo
Raimundo, Raimundo, vem fundo vagabundo
E dona caveira que era uma gracinha
Com o tal Raimundo teve várias caveiras
Mamãe, mamãe, eu quero mamadeira…
Cala a bola não chateia não tenho peito sou caveira…
Era um coveiro…

Abraços de uma Sobrinha emocionada.

intel

Gerenciar uma Certificate Authority (Autoridade Certificadora ou CA) pode ser feito de várias formas, desde usando os comandos do openssl na mão, passando por utilizar as facilidades de PKI do Active Directory do Windows e algumas ferramentas gráficas como o Gnomint.

Até a semana passada eu estava realmente usando o Gnomint, mas tive uma série de problemas, principalmente com encoding e com um plano de utilizar essa PKI de forma mais ampla. O Gnomint é ótimo para gerenciar pequenas PKIs, mas quando você pensa em emitir milhares de certificados SSL, vocẽ precisa de algo mais parrudo.

Acabei lendo sobre o EJBCA, que é uma aplicação que roda em JBoss e tem uns usuários bem famosos (incluindo o SERASA, aqui no Brasil). O EJBCA foi então a escolha para gerência da PKI.

A instalação dele no Debian (Lenny) foi bem simples, basicamente porque o pacote JBoss do Debian atualmente não faz porra nenhuma, e você tem de baixar o mesmo do site do JBoss e instalar na mão (isso quer dizer descompactar para algum lugar, eu sugiro o /opt). Algumas coisas que eu fiz e podem ajudar:

Com isso você mata os pré-requisitos do EJBCA. De resto, o guia de instalação dele é bem certinho. Mas basicamente o que você tem de fazer é:

• Dentro do diretório do EJBCA tem o diretório conf, onde você deve copiar o ejbca.properties.sample para ejbca.properties e configurar. Algumas coisas são bem avançadas como por exemplo guardar as chaves e certificados em dispositivos de hardware, mas no meu caso a maioria dos padrões serviu bem.
• Leia o arquivo database.properties.sample e o documento howto databases que tem dentro do /doc do EJBCA. Lá tem os comandos para se criar o banco postgres mas basicamente você cria um usuário ejbca com uma senha qualquer, e um banco com este usuário sendo o owner.

O resto do guia é bem mastigado. Lembre-se que o login na interface administrativa só é feito via Certificado, então depois de instalado não perca o arquivo superadmin.p12 queé gerado na instalação e deve ser importado no seu browser para que se possa acessar a interface.

Dentro do diretório do EJBCA existem também documentos descrevendo a utilização de vários servidores de aplicação diferentes assim como outros bancos de dados.

A outra parte foi mais complicada. Eu tinha de pegar os certificados e as chaves privadas das minhas CAs internas do Gnomint e colocá-las no EJBCA. Seria simples, se o Gnomint exportasse o PKCS#12 direito, mas aparentemente ele faz alguma besteira no formato e o EJBCA dá um erro. A solução foi a seguinte, e pode ser utilizada para migração de várias outras formas de PKI para o EJBCA:

• No Gnomint, exportei separadamente o certificado da minha Root CA para um arquivo e a chave privada da mesma para outro.
• Usando o openssl, criei um arquivo PKCS#12 usando estes dois arquivos, com o seguinte comando:

sudo openssl pkcs12 -export -out rootca.p12 -inkey rootca.key -in rootca.pem -name privateKey

• Isso ai cria um arquivo que o EJBCA alegremente importou como a minha nova RootCA, via interface gráfica, sem estresse.
• Caso você, como eu, tenha de importar CAs subordinadas (sempre uma boa idéia), você tem de repetir o procedimento acima para cada uma (exportar chave e certificado de cada uma), mas tem uma pegadinha: no caso de CAs subordinadas, você tem de incluir no comando openssl a opção -certfile rootca.pem. Porquê disso, você deve perguntar. Porquê sem isso, a cadeia (chain) de certificados fica incorreta no PKCS#12 e quando a Sub CA for importada ela vai aparecer como auto-assinada, e não assinada pela sua Root CA (ou seja, sua cadeia vai ficar quebrada).
• Eu tive de importar também alguns certificados já emitidos para servidores aqui. Isso não é extremamente necessário, mas se não for feito você vai ficar sem uma forma de revogar estes certificados pelo EJBCA futuramente. Existe uma ferramenta chamada bin/ejbca.sh do EJBCA que faz essa importação sem trauma.

Depois disso, só alegria. O EJBCA tem uma interface pública que fica disponível na porta 8080, onde são publicados as CRL (Certificate Revocation Lists) e também onde usuários podem submeter CSRs (Certificate Signing Request) para geração de novos certificados. A interface administrativa roda na porta 8443 e só pode ser acessada por quem tem o certificado correto instalado no browser, e cuida do resto da PKI.

PKIs são dados sensíveis. Você deve ter backups seguros das configurações e principalmente das keychains das suas CAs. Se você perde uma chave ou um certificado Raiz, você perde toda a segurança que ele propõe, e vai ter de re-emitir TODOS os seus certificados. Lembre-se de limitar o acesso a interface administrativa e a própria máquina, várias camadas de firewall são aconselhadas.

A minha PKI roda numa máquina virtualizada, mas eu não aconselho isso para qualquer lugar onde os certificados serão utilizados em funões críticas. Uma máquina virtualizada é altamente mais sucetível a ataques e a roubo de dados (afinal de contas, se roubar a imagem, rouba-se tudo).

O próximo passo é dar uma conferida na integração do EJBCA com LDAP, para ver como fica uma PKI realmente grande e integrada com outros sistemas.

intel

Viste o site para saber mais.

intel.

1. Sistemas Operacionais e Organização de Computadores (não adianta tentar ser um sysadmin sem ter um amplo conhecimento de como o SO e Hardware funcionam)
2. Rede (mesma coisa ali de cima, e aqui estamos falando daquelas chatices de TCP/IP, cabeçalhos, window size, mtu e tudo mais, não só roteamento)
3. Programação (tem de saber algum shell script, e mais uma linguagem de verdade)
4. Conceito das linguagens utilizadas no ambiente que vai se administrar (java, python, etc…)
5. Banco de Dados (como eles funcionam, transações, locking, particionamento, tuning)
6. Inglês (isso é óbvio)

Mas dai você vai dizer “porra, mas esse monte de coisa?”. Acredite, o seu ambiente vai dar merda e você pelo menos tem de ter conhecimento o bastante para apontar a falha (além de ter de resolver).

intel

http://meh.core.eti.br/

No caso deles, é escolha artística, no meu caso é falta de capacidade mesmo

intel

Tava pensando numa parada esses dias, pensei ainda mais na viagem aqui pra Amazônia (tô em Tabatinga a trabalho).

Imagine que você está tranquilamente viajando e olhando a as nuvens pela janela do avião. De repente, um gigantesco navio aparece cortando as nuvens e aborda o avião. Todos os passageiros entram em pânico, gritam e acham que vão morrer. Você claramente nota que todo mundo está vendo o mesmo que você. O navio então joga uma espécie de túnel, abre a porta do avião e algumas pessoas que você reconhece sendo amigos de outros lugares (outras cidades, etc…) te chamam e dizem que precisam de você para integrar a tripulação do navio. Todo mundo no avião olha para você com cara de WTF e você decide ir. O navio singra as nuvens e deixa o avião ir embora tranquilamente. Você vive 10 anos naquela tripulação até que um dia é abatido em combate e morre.

Enquanto isso, as pessoas no avião na verdade vêem você ter uma convulsão e entrar em estado catatônico, que dura 10 anos até que você tem um infarto e morre numa instituição mental qualquer.

O ponto dessa elucubração é que não existe (ou eu não consigo ver) nenhuma forma de se ‘testar’ se uma realidade é ‘real’, tendo um certo número de informações/estímulos. Para você, vivendo no navio voador, aqueles 10 anos são a realidade e por mais absurda que ela pareça todos os impulsos externos que você recebe te provam aquilo. O que significa que não existe forma válida para testar que o que você vive agora é real.

Tenso.

intel.

Ele revelou a Verdade eterna, trazendo alegria para milhões.

Ele impressionou o mundo com seu comando sobre a Natureza.

Ele mudou a história para sempre.

Feliz Aniversário, Sir Isaac Newton

25 de Dezembro de 1642 – 20 de Março de 1726

Retirado daqui.

intel!