Capítulo 6. Aplicações de rede

Debian oferece muitos pacotes livres com plugins de navegador na área de arquivo main, os quais podem lidar não apenas com Java (plataforma de software) e Flash mas também com ficheiros MPEG, MPEG2, MPEG4, DivX, Windows Media Video (.wmv), QuickTime (.mov), MP3 (.mp3), Ogg/Vorbis, DVDs, VCDs, etc. Debian também oferece programas de ajuda para instalar pacotes não-livres de plugins de navegador nas áreas de arquivo contrib ou non-free.

	Dica
	Apesar do uso dos pacotes Debian em cima ser mais fácil, os plugins do navegador podem ainda ser adicionados manualmente ao instalar os "*.so" nos diretórios de plugins (ex. "/usr/lib/iceweasel/plugins/") e a reiniciar os navegadores.

Alguns sites web recusam a ligação de acordo com a string user-agent do seu navegador. Pode contornar esta situação ao enganar a string user-agent. Por exemplo, pode fazê-lo ao adicionar a seguinte linha em ficheiros de configuração do utilizador como o "~/.gnome2/epiphany/mozilla/epiphany/user.js" ou "~/.mozilla/firefox/*.default/user.js".

user_pref{"general.useragent.override","Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)"};

Alternativamente, pode adicionar ou reiniciar esta variável ao escrever "about:config" no URL e clicar com o botão direito no conteúdo mostrado.

	Cuidado
	Uma string user-agent enganada pode causar maus efeitos colaterais com Java.

Uma mensagem de email consiste em três componentes, o envelope da mensagem, o cabeçalho da mensagem e o corpo da mensagem.

A informação "To" e "From" no envelope da mensagem é utilizada pelo SMTP para entregar o email. (A informação de "From" no envelope da mensagem também é chamada de endereço bounce, From_, etc.).

A informação "To" e "From" no cabeçalho da mensagem é mostrada pelo cliente de email. (Embora seja vulgar que sejam os mesmo do envelope da mensagem nem sempre é o caso.)

O cliente de email) (MUA) necessita interpretar os cabeçalhos da mensagem e dados do corpo a utilizar Multipurpose Internet Mail Extensions (MIME) para lidar com o tipo de dados e codificação do conteúdo.

Quando configurar o seu sistema de mail ou resolver problemas de entrega de mail, deve considerar estas novas limitações.

	Cuidado
	Não é realista correr um servidor SMTP numa rede de ligação doméstica para enviar mail directamente para a máquina remota de forma confiável.

	Cuidado
	Não é realista para a confiança da máquina remota, esperar que um único smarthost envie mails com um endereço de mail fonte não relacionado.

	Cuidado
	Um mail pode ser rejeitado em silêncio por qualquer máquina na rota ao destino. Tornar o seu mail com a aparência mais autêntica possível é a única forma de enviar um mail para a confiança da máquina remota.

À luz destas situações e limitações hostis da Internet, alguns ISPs de mail de Internet independentes tais como o Yahoo.com e Gmail.com oferecem o serviço de mail seguro que pode ser acedido a partir de qualquer lugar na Internet a usar o Transport Layer Security (TLS) e o antecessor dele, Secure Sockets Layer (SSL).

Para simplificar, assumo que o smarthost está localizado em "smtp.nomemaquina.dom", necessita de Autenticação SMTP e utiliza o porto para submissão de mensagens (587) com STARTTLS no texto seguinte.

A configuração de mail mais simples é aquela onde o mail é enviado para o smarthost do ISP e recebido do servidor POP3 do ISP pelo próprio MUA (veja Secção 6.4, “Agente utilizador de mail (MUA)”). Este tipo de configuração é popular com MUA baseado em GUIs cheios de funcionalidades como o icedove(1), evolution(1), etc. Se necessitar filtrar o mail pelos tipos dele, usa a função de filtragem do MUA. Para este caso, o MTA local (veja Secção 6.3, “Agente de transporte de mail (MTA)”) precisa apenas de fazer entregas locais (quando o remetente e o destinatário estão na mesma máquina.

Por favor note que o sistema Debian é um sistema multi-utilizador. Mesmo que seja o único utilizador, existem muitos programas que correm como root e eles podem enviar-lhe um mail.

A configuração de mail alternativa é onde o mail é enviado via MTA local para o smarthost do ISP e recebido do POP3 do ISP através de um obtentor de mail (veja Secção 6.5, “O adquiridor de mail remoto e utilitário de reencaminhamento”) para a mailbox local. Se necessitar filtrar o mail pelos seus tipos, utilize o MDA com filtro (veja Secção 6.6, “Agente de entrega de mail (MDA) com filtro”) para filtrar o mail em caixas separadas. Este tipo de configuração é popular com MUAs baseadas em consola simples como mutt(1), mew(1), etc., apesar de ser possível com qualquer MUA (veja Secção 6.4, “Agente utilizador de mail (MUA)”). Para este caso, o MTA local (veja Secção 6.3, “Agente de transporte de mail (MTA)”) precisa de fazer a entrega ao smarthost e a entrega local. Como as estações de trabalho móveis não têm um FQDN válido, terá de configurar o MTA local para esconder e enganar o nome de mail local real no mail de saída para evitar erros de entrega de mail (veja Secção 6.3.3, “A configuração do endereço de mail”).

	Dica
	Poderá desejar configurar o MUA/MDA para utilizar Maildir para armazenar as mensagens de email algures sob o seu diretório pessoal.

	Cuidado
	Configurar o exim4 para enviar o mail de Internet via múltiplos smarthosts correspondentes para múltiplos endereços de email fonte não é trivial. Por favor defina o exim4 apenas para um único endereço de email para os programas do sistema tais como o popcon e o cron e defina o msmtp para múltiplos endereços de email fonte para os programas do utilizador como o mutt.

Para mail de Internet através de smarthost, (re)configura o pacote exim4-* conforme o seguinte:

$ sudo /etc/init.d/exim4 stop
$ sudo dpkg-reconfigure exim4-config

Escolha "mail enviado por smarthost; recebido via SMTP ou fetchmail" para "Configuração geral do tipo de mail".

Defina "nome de mail do sistema:" para a predefinição dele como o FQDN (veja Secção 5.1.1, “A resolução de nome de máquina”).

Defina "Endereço IP onde escutar ligações SMTP recebidas:" à predefinição dele como "127.0.0.1 ; ::1".

Desconfigure o conteúdo de "Outros destinos para o qual o mail é aceite:".

Desconfigure o conteúdo de "Máquinas para retransmitir mail para:".

Defina "Endereço IP ou nome de máquina do smarthost de envio:" para "smtp.nome-de-máquina.domínio:587".

Escolha "<Não>" para "Esconder o nome de mail local para o mail enviado?". (Em vez disso, use "/etc/email-addresses" como em Secção 6.3.3, “A configuração do endereço de mail”.)

Responda a "Mínimizar a quantidade de consultas DNS (Chamar-a-Pedido)?" como uma das seguintes.

Defina o "Método de entrega para mail local:" para "formato mbox em /var/mail".

Seleccione "<Sim>" para "Dividir configuração em pequenos ficheiros?:".

Crie entradas de palavra-passe para o smarthost ao editar "/etc/exim4/passwd.client".

$ sudo vim /etc/exim4/passwd.client
 ...
$ cat /etc/exim4/passwd.client
^smtp.*\.nome_de_máquina\.domínio:nome_do_usador@nome_da_máquina.domínio:palavra-passe

Inicie o exim4 com o seguinte.

$ sudo /etc/init.d/exim4 start

o nome de máquina em "/etc/exim4/passwd.client" não deve ser o alias. Verifique o nome real da máquina com o seguinte.

$ host smtp.hostname.dom
smtp.hostname.dom é um alias para smtp99.hostname.dom.
smtp99.hostname.dom possui o endereço 123.234.123.89

Utilizo expressões regulares em "/etc/exim4/passwd.client" para contornar o problema do alias. Provavelmente o SMTP AUTH funciona mesmo que o ISP mova a máquina apontada pelo alias.

Pode atualizar manualmente a configuração do exim4 com o seguinte:

Por favor leia o guia oficial em "/usr/share/doc/exim4-base/README.Debian.gz" e update-exim4.conf(8).

	Cuidado
	O arranque do exim4 demora muito tempo se foi escolhido "Não" (valor predefinido) na pergunta debconf de "Manter a quantidade de consultas DNS no mínimo (Chamar-a-pedido)?" e o sistema não estiver ligado à Internet durante o arranque.

	Atenção
	É inseguro utilizar palavras-passe em texto simples sem encriptação mesmo que o seu ISP o permita.

	Dica
	Embora seja recomendado a utilização de SMTP com STARTTLS no porto 587, alguns ISPs ainda utilizam o depreciado SMTPS (SSL no porto 465). O exim4 após a versão 4.77 suporta o protocolo depreciado SMTPS quer para cliente quer para servidor.

	Dica
	Se está à procura de um MTA leve que respeite "/etc/aliases" para o seu PC portátil, deve considerar configurar o exim4(8) com "QUEUERUNNER='queueonly'", "QUEUERUNNER='nodaemon'", etc. em "/etc/default/exim4".

Para o mail de Internet através de smarthost, deve primeiro ler a documentação do postfix e páginas chave do manual.

$ sudo /etc/init.d/postfix stop
$ sudo dpkg-reconfigure postfix

$ sudo postconf -e 'smtp_sender_dependent_authentication = yes'
$ sudo postconf -e 'smtp_sasl_auth_enable = yes'
$ sudo postconf -e 'smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd'
$ sudo postconf -e 'smtp_sasl_type = cyrus'
$ sudo vim /etc/postfix/sasl_passwd

$ cat /etc/postfix/sasl_passwd
[smtp.hostname.dom]:587     nome_utilizador:palavra_passe
$ sudo postmap hush:/etc/postfix/sasl_passwd

$ sudo /etc/init.d/postfix start

Existem alguns ficheiros de configuração de endereços de mail para transporte, entrega e agentes de utilizador de mail.

O mailname no ficheiro "/etc/mailname" é normalmente um nome de domínio totalmente qualificado (FQDN) que resolve para um dos endereços IP do anfitrião. Para a estação de trabalho móvel que não tem um nome de máquina com endereço IP resolvível, regule este mailname para o valor de "hostname -f". (Esta é uma escolha segura e funciona para ambos exim4-* e postfix.)

	Dica
	O conteúdo de "/etc/mailname" é utilizado por muitos programas não-MTA para o comportamento predefinido dele. Para o mutt, defina as variáveis "hostname" e "from" no ficheiro ~/muttrc para sobrepor o valor mailname. Para programas no pacote devscripts, como o bts(1) e dch(1), exporte as variáveis de ambiente "$DEBFULLNAME" e "$DEBEMAIL" para o sobrepor.

Dica

O pacote popularity-contest normalmente envia mail a partir da conta de root com FQDN. Tem de definir MAILFROM em /etc/popularity-contest.conf como descrito no ficheiro /usr/share/popularity-contest/default.conf. Caso contrário, o seu mail será rejeitado pelo servidor SMTP do smarthost. Apesar de isto ser um tédio, esta aproximação é mais segura do que reescrever o endereço fonte para todos os mails do root pelo MTA e deve ser usado para outros daemons e scripts do cron.

Ao definir o mailname para "hostname -f", o spoofing do endereço de mail da fonte via MTA pode ser realizado com o seguinte.

• ficheiro "/etc/email-addresses" para exim4(8) conforme é explicado em exim4-config_files(5)

• ficheiro "/etc/postfix/generic" para postfix(1) conforme é explicado em generic(5)

Para o postfix, os seguintes passos adicionais são necessários:

# postmap hash:/etc/postfix/generic
# postconf -e 'smtp_generic_maps = hash:/etc/postfix/generic'
# postfix reload

Pode testar a configuração do endereço de email a usar o seguinte:

• exim(8) com as opções -brw, -bf, -bF, -bV, …

• postmap(1) com a opção -q.

	Dica
	O exim vem com vários programas utilitários como o exiqgrep(8) e exipick(8). Veja "dpkg -L exim4-base|grep man8/" para os comandos disponíveis.

Mutt pode ser configurado para usar endereços de email de múltiplas fontes com múltiplos smarthosts correspondentes a usar msmtp.

	Dica
	Msmtp é um emulador de envio de mail que permite ser instalado juntamente com outro emulador de envio de mail que disponibilize o comando /usr/sbin/sendmail. Assim pode deixar o seu mail de sistema ser exim4 ou postfix.

Vamos pensar em suportar 3 endereços de email como um exemplo:

Aqui está um exemplo de personalização do ~/.muttrc com suporte a 3 smarthosts para 3 diferentes endereços de email fonte.

set use_from
set from="My Name3 <myaccount3@example.org>"
set reverse_name
alternates myaccount1@gmail\.com|myaccount1@gmail\.com|myaccount3@example\.org

# ...

# MACRO
macro compose "1" "<edit-from>^UMy Name1 \<myaccount1@gmail.com\>\n"
macro compose "2" "<edit-from>^UMy Name2 \<myaccount2@gmail.com\>\n"
macro compose "3" "<edit-from>^UMy Name3 \<myaccount3@example.org\>\n"

send2-hook '~f myaccount1@gmail.com' "set sendmail = '/usr/bin/msmtp --read-envelope-from'"
send2-hook '~f myaccount2@gmail.com' "set sendmail = '/usr/bin/msmtp --read-envelope-from'"
send2-hook '~f myaccount3@example.org' "set sendmail = '/usr/bin/msmtp --read-envelope-from'"

# ...

Vamos instalar o msmtp-gnome e definir ~/.msmtprc como a seguir:

defaults
logfile ~/.msmtp.log
domain myhostname.example.org
tls on
tls_starttls on
tls_certcheck on
tls_trust_file /etc/ssl/certs/ca-certificates.crt
auth on
port 587
auto_from

account myaccount1@gmail.com
host smtp.gmail.com
from  myaccount1@gmail.com
user  myaccount1@gmail.com

account myaccount2@gmail.com
host smtp.gmail.com
from  myaccount2@gmail.com
user  myaccount2@gmail.com

account myaccount3@example.org
host mail.example.org
from  myaccount3@example.org
user  myaccount3@example.org

account default : myaccount3@example.org

Depois, adicione os dados da palavra-passe ao chaveiro do Gnome. Por exemplo:

 $ secret-tool store --label=msmtp \
     host smtp.gmail.com \
     service smtp \
     user myaccount1@gmail.com
 ...

	Dica
	Se não desejar usar o chaveiro do Gnome, em vez deste pode instalar o pacote msmtp e adicionar uma entrada tal como password secret123" a cada conta em ~/.msmtprc. Veja documentação do memtp para mais detalhes.

A configuração do getmail(1) está descrita em documentação do getmail.Aqui estão as minhas definições para aceder a múltiplas contas POP3 como utilizador.

Crie "/usr/local/bin/getmails" como o seguinte.

#!/bin/sh
set -e
if [ -f $HOME/.getmail/running ]; then
  echo "getmail já está a correr ... (se não, remova $HOME/.getmail/running)" >&2
  pgrep -l "getmai[l]"
  exit 1
else
  echo "getmail não está a correr ... " >&2
fi
if [ -f $HOME/.getmail/stop ]; then
  echo "não correr o getmail ... (se não, remova $HOME/.getmail/stop)" >&2
  exit
fi
if [ "x$1" = "x-l" ]; then
  exit
fi
rcfiles="/usr/bin/getmail"
for file in $HOME/.getmail/config/* ; do
  rcfiles="$rcfiles --rcfile $file"
done
date -u > $HOME/.getmail/running
eval "$rcfiles $@"
rm $HOME/.getmail/running

Configure-o como o seguinte.

$ sudo chmod 755 /usr/local/bin/getmails
$ mkdir -m 0700 $HOME/.getmail
$ mkdir -m 0700 $HOME/.getmail/config
$ mkdir -m 0700 $HOME/.getmail/log

Crie ficheiros de configuração "$HOME/.getmail/config/pop3_name" para cada conta POP3 como o seguinte.

[retriever]
type = SimplePOP3SSLRetriever
server = pop.exemplo.com
username =  nome_pop3@exemplo.com
password = <sua-palavra-passe>

[destination]
type = MDA_external
path = /usr/bin/maildrop
unixfrom = True

[options]
verbose = 0
delete = True
delivered_to = False
message_log = ~/.getmail/log/pop3_name.log

Configure-o como o seguinte.

$ chmod 0600 $HOME/.getmail/config/*

Agenda o "/usr/local/bin/getmails" para correr a cada 15 minutos com o cron(8) ao executar "sudo crontab -e -u <nome_de_utilizador>" e a adicionar o seguinte à entrada cron do utilizador.

5,20,35,50 * * * * /usr/local/bin/getmails --quiet

Dica

Os problemas do acesso POP3 podem não vir do getmail. Alguns serviços populares POP3 livres podem estar a violar o protocolo POP3 e o filtro de SPAM deles pode não ser perfeito. Por exemplo, pode estar a apagar as mensagens logo após receber o comando RETR antes de receber o comando DELE e pode pôr mensagens em quarentena na caixa do Spam. Deve minimizar os danos ao configura-los para arquivar as mensagens acedidas e não as apagar. Veja também "Algum mail não foi descarregado".

A configuração do maildrop(1) está descrita em documentação do maildropfilter. Aqui está um exemplo de configuração para "$HOME/.mailfilter".

# Local configuration
MAILROOT="$HOME/Mail"
# set this to /etc/mailname contents
MAILHOST="example.dom"
logfile $HOME/.maildroplog

# rules are made to override the earlier value by the later one.

# mailing list mails ?
if (     /^Precedence:.*list/:h || /^Precedence:.*bulk/:h )
{
    # rules for mailing list mails
    # default mailbox for mails from mailing list
    MAILBOX="Inbox-list"
    # default mailbox for mails from debian.org
    if ( /^(Sender|Resent-From|Resent-Sender): .*debian.org/:h )
    {
        MAILBOX="service.debian.org"
    }
    # default mailbox for mails from bugs.debian.org (BTS)
    if ( /^(Sender|Resent-From|Resent-sender): .*@bugs.debian.org/:h )
    {
        MAILBOX="bugs.debian.org"
    }
    # mailbox for each properly maintained mailing list with "List-Id: foo" or "List-Id: ...<foo.bar>"
    if ( /^List-Id: ([^<]*<)?([^<>]*)>?/:h )
    {
        MAILBOX="$MATCH2"
    }
}
else
{
    # rules for non-mailing list mails
    # default incoming box
    MAILBOX="Inbox-unusual"
    # local mails
    if ( /Envelope-to: .*@$MAILHOST/:h )
    {
        MAILBOX="Inbox-local"
    }
    # html mails (99% spams)
    if ( /DOCTYPE html/:b ||\
         /^Content-Type: text\/html/ )
    {
        MAILBOX="Inbox-html"
    }
    # blacklist rule for spams
    if ( /^X-Advertisement/:h ||\
         /^Subject:.*BUSINESS PROPOSAL/:h ||\
         /^Subject:.*URGENT.*ASISSTANCE/:h ||\
         /^Subject: *I NEED YOUR ASSISTANCE/:h )
    {
        MAILBOX="Inbox-trash"
    }
    # whitelist rule for normal mails
    if ( /^From: .*@debian.org/:h ||\
         /^(Sender|Resent-From|Resent-Sender): .*debian.org/:h ||\
         /^Subject: .*(debian|bug|PATCH)/:h )
    {
        MAILBOX="Inbox"
    }
    # whiltelist rule for BTS related mails
    if ( /^Subject: .*Bug#.*/:h ||\
         /^(To|Cc): .*@bugs.debian.org/:h )
    {
        MAILBOX="bugs.debian.org"
    }
    # whitelist rule for getmails cron mails
    if ( /^Subject: Cron .*getmails/:h )
    {
        MAILBOX="Inbox-getmails"
    }
}

# check existance of $MAILBOX
`test -d $MAILROOT/$MAILBOX`
if ( $RETURNCODE == 1 )
{
    # create maildir mailbox for $MAILBOX
    `maildirmake $MAILROOT/$MAILBOX`
}
# deliver to maildir $MAILBOX
to "$MAILROOT/$MAILBOX/"
exit

	Atenção
	Ao contrário do procmail, o maildrop não cria automaticamente os diretórios maildir em falta. Tem de os criar manualmente com antecedência a usar o maildirmake(1) como no exemplo "$HOME/.mailfilter".

	Atenção
	o "/etc/ssh/sshd_not_to_be_run" não pode estar presente se desejar correr o servidor OpenSSH.

SSH tem dois protocolos de autenticação.

	Cuidado
	Tenha cuidado com estas diferenças se não estiver a usar um sistema Debian.

Veja "/usr/share/doc/ssh/README.Debian.gz", ssh(1), sshd(8), ssh-agent(1) e ssh-keygen(1) para detalhes.

Os ficheiros de configuração chave são os seguintes.

	Dica
	Veja ssh-keygen(1), ssh-add(1) e ssh-agent(1) para como usar chaves SSH secretas e públicas.

	Dica
	Certifique-se de verificar as configurações ao testar a ligação. Em caso de problemas, use "ssh -v".

	Dica
	Pode mudar a frase-passe para encriptar chaves SSH secretas locais mais tarde com "ssh-keygen -p".

	Dica
	Pode adicionar opções às entradas em "~/.ssh/authorized_keys" para limitar máquinas e correr comandos específicos. Veja sshd(8) para mais detalhes.

O seguinte inicia uma ligação ssh(1) a partir de um cliente.

Se usar o mesmo nome de utilizador nas máquinas local e remota, pode eliminar a escrita de "username@". Mesmo que use um nome de utilizador diferente nas máquinas local e remota, pode eliminá-lo a usar "~/.ssh/config". Para o serviço Debian Salsa com nome de conta "foo-guest", regula o "~/.ssh/config" para conter o seguinte.

Host salsa.debian.org people.debian.org
    User foo-guest

Para o utilizador as funções do ssh(1) são uma telnet(1) mais inteligente e segura. Ao contrário do comando telnet, o comando ssh não pára no caractere de escape do telnet (predefinição inicial CTRL-]).

Existem alguns clientes SSH livres disponíveis para outras plataformas.

Precisa de proteger o processo ao fazer "shutdown -h now" (veja Secção 1.1.8, “Como desligar o sistema”) a partir da terminação do SSH a usar o comando at(1) (veja Secção 9.3.13, “Agendar tarefas uma vez”) com o seguinte.

# echo "shutdown -h now" | at now

Correr "shutdown -h now" numa sessão do screen(1) (veja Secção 9.1, “O programa screen”) é outro modo de fazer o mesmo.