Respirandolinux: É o momento de melhorar

Olá, em agosto de 2010 eu decidi criar um blog para compartilhar as minhas experiências com Linux, esse sistema operacional que tive a oportunidade de conhecer bastante cedo e que sempre me trouxe muita alegria e realizações.

Naquele momento, há 12 anos atrás, eu estava iniciando um novo trabalho, pela primeira vez podendo atuar de maneira dedicada ao Linux, por isso eu me sentia “respirando linux”, então surgiu esse blog. No início eu não tinha muitas pretensões, apenas imaginava que se algum artigo ajudasse uma pessoa sequer, a missão do blog tinha sido cumprida. Para minha surpresa, o blog estava sendo muito mais acessado do que eu poderia imaginar, crescendo a cada semana, a cada mês…

Sou muito grato por poder compartilhar as minhas experiências aqui e ter um blog livre de fato, nunca publiquei nenhum artigo que não tivesse como principal interesse ajudar pessoas!

Agora é hora de melhorar, e para isso, surge um novo nome, o “Pensando Linux”. Espero muito em breve iniciar uma série de novos artigos e com conteúdo em vídeo para ajudar ainda mais pessoas.

Deixo aqui meu agradecimento a cada pessoa que acessa esse blog e um agradecimento especial para cada comentário que recebo nos artigos.

Imagem retirada do banco de imagens vecteezy.com

Linux: Vulnerabilidade crítica (CVE-2021–4034): PwnKit

Olá! Neste artigo gostaria de informar sobre uma vulnerabilidade crítica que permite a elevação de privilégios em sistemas Linux.

A vulnerabilidade CVE-2021-4034, divulgada em 25 de fevereiro de 2022, afeta o software “pkexec”, presente em praticamente todas as principais distribuições Linux. “Apelidada” de PwnKit, essa vulnerabilidade descoberta pela Qualys permite que um atacante com um usuário comum obtenha privilégios de root no sistema.

Irei publicar em breve mais informações sobre o impacto e como corrigir nas distribuições Linux essa vulnerabilidade.

Por enquanto, algumas documentações que coletei de algumas distribuições e algumas publicações com mais detalhes sobre a vulnerabilidade:

https://access.redhat.com/security/cve/CVE-2021-4034

https://ubuntu.com/security/CVE-2021-4034

https://www.suse.com/security/cve/CVE-2021-4034.html

https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034

Zimbra: Howto de instalação do Zimbra 8.8.15 LTS (OSE) no Centos/Redhat/OracleLinux 8

Olá ! Para esse ano, irei dedicar alguns artigos sobre instalação e dicas básicas do Zimbra. Analisado o perfil das minhas publicações, constatei que os posts estavam exclusivamente relacionados a implementações de funcionalidades ou correção de problemas. Portanto, você que está começando com Zimbra, espero que este blog também consiga te ajudar.

Vamos então ao segundo artigo: Instalação do Zimbra 8.8 (Open Source) no Centos / Red Hat Enterprise Linux / Oracle Linux 8 !

Atualizado em: Março de 2021

Versão utilizada: 8.8.15 (LTS) OSE

Continue lendo “Zimbra: Howto de instalação do Zimbra 8.8.15 LTS (OSE) no Centos/Redhat/OracleLinux 8”

Zimbra: Guia de sobrevivência: PolicyD

Olá! Neste segundo artigo da série “Guias de sobrevivência!”, vamos falar sobre o serviço PolicyD do Zimbra.

Última atualização: 27/11/2020

O Zimbra possui a integração nativa com o software PolicyD, que, entre outras funcionalidades, permite a implementação de políticas de controle de envio de mensagens em um determinado período de tempo.

Continue lendo “Zimbra: Guia de sobrevivência: PolicyD”

Zimbra: Guia de sobrevivência: LDAP

Olá! É com muita satisfação que inicio uma nova série de artigos sobre o Zimbra:

Guias de sobrevivência!

Neste primeiro artigo da série, vamos falar sobre o serviço LDAP do Zimbra.

A ideia desses artigos é sempre serem atualizados e complementados conforme minhas experiências.

Última atualização: 10/07/2022

Continue lendo “Zimbra: Guia de sobrevivência: LDAP”

Zimbra: Howto de instalação do Zimbra 8.8.15 LTS (OSE) no Ubuntu 16

Olá ! Para esse ano, irei dedicar alguns artigos sobre instalação e dicas básicas do Zimbra. Analisado o perfil das minhas publicações, constatei que os posts estavam exclusivamente relacionados a implementações de funcionalidades ou correção de problemas. Portanto, você que está começando com Zimbra, espero que este blog também consiga te ajudar.

Vamos então ao primeiro artigo: Instalação do Zimbra 8.8 (Open Source) no Ubuntu 16 !

Atualizado em: Maio de 2020

Versão utilizada: 8.8.15 (LTS) OSE

Continue lendo “Zimbra: Howto de instalação do Zimbra 8.8.15 LTS (OSE) no Ubuntu 16”

Zimbra: Howto de instalação do Zimbra 8.8.15 LTS (OSE) no Centos/Redhat/OracleLinux 7

Olá ! Para esse ano, irei dedicar alguns artigos sobre instalação e dicas básicas do Zimbra. Analisado o perfil das minhas publicações, constatei que os posts estavam exclusivamente relacionados a implementações de funcionalidades ou correção de problemas. Portanto, você que está começando com Zimbra, espero que este blog também consiga te ajudar.

Vamos então segundo artigo: Instalação do Zimbra 8.8 (Open Source) no Centos / Red Hat Enterprise Linux / Oracle Linux 7 !

Atualizado em: Maio de 2020

Versão utilizada: 8.8.15 (LTS) OSE

Continue lendo “Zimbra: Howto de instalação do Zimbra 8.8.15 LTS (OSE) no Centos/Redhat/OracleLinux 7”

Zimbra: Listando as contas de um servidor Mailbox (Multi-Server)

Olá! Em ambientes Zimbra Multi-Server, muitas vezes precisamos listar as contas de um servidor Mailbox específico para algumas operações.

Para obter a relação de contas armazenadas em um servidor Mailbox, o comando zmprov pode ser utilizado, informando o nome do servidor desejado na consulta:

zmprov -l gaa -s mailbox.dominio.com.br

Referência:

https://wiki.zimbra.com/wiki/How_to_list_all_accounts_in_a_mailbox_server

Zimbra: Correção de segurança para a versão 8.8.15 (Julho de 2023)

Olá! A Zimbra publicou hoje (12/07/2023) uma correção de segurança necessária para a versão 8.8.15 do Zimbra.

Para aplicar, é necessário executar os passos abaixo:

Nos servidores com o serviço MAILBOX do Zimbra, faça o backup do arquivo /opt/zimbra/jetty/webapps/zimbra/m/momoveto e edite o mesmo, alterando a linha 40, que irá estar com o seguinte conteúdo:

<input name="st" type="hidden" value="${param.st}"/>

Altere o conteúdo da linha para:

<input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>

Após alterar e salvar o arquivo, não é necessário reiniciar nenhum serviço.

Zimbra: Solução para o serviço Amavis são iniciar

Olá! Neste artigo gostaria de compartilhar a solução para o serviço Amavis do Zimbra não iniciar, com o erro “TROUBLE in pre_loop_hook: config: no rules were found! Do you need to run ‘sa-update'” sendo registrado no log /var/log/zimbra.log.

Esse erro ocorre em ambientes Zimbra que foram atualizados de versões anteriores ou após a aplicação de algum patch.

Para solucionar, basta seguir os procedimentos abaixo:

$ mv /opt/zimbra/data/spamassassin/state /tmp/state

$ /opt/zimbra/common/bin/sa-update -D

$ zmamavisdctl restart

Zimbra: Erro “Failed to set capabilities on file” durante a instalação

Olá! Neste artigo gostaria de abordar a questão do erro “Failed to set capabilities on file……operation not permited” durante a instalação do Zimbra.

Primeiramente, é preciso entender que esse erro ocorre durante a operação de definir “capabilities” – “capacidades” em arquivos, que é um processo necessário para execução dos processos dos serviços do Zimbra. Como é uma operação em arquivos, logicamente o seu sistema de arquivos, onde está montado o diretório /opt/zimbra e zimbra será instalado, deve suportar essa operação.

Para validar se o seu sistema de arquivos suporta essa operação, no diretório /opt/zimbra (você pode criar o diretório antes de instalar o Zimbra sem problema), crie um arquivo de teste e tente definir uma capability:

touch teste

setcap cap_net_admin+eip teste

Se o seu sistema de arquivos não suportar a operação, o seguinte erro será apresentado:

Failed to set capabilities on file `test' (Operation not supported)
The value of the capability argument is not permitted for a file. Or the file is not a regular (non-symlink) file

Desta forma, é necessário verificar se o seu sistema de arquivos pode ser montado com as opções para suporte essa operação. Destacando que sistemas de arquivos NFS não suportam esse recurso:

https://access.redhat.com/solutions/2117321

Onlyoffice: Instalando o Onlyoffice Docs 7.3 e Integrando ao Nextcloud

Olá! Nesse artigo gostaria de compartilhar os procedimentos para instalação do Onlyoffice Docs 7.3 Community Edition com a imagem Docker e integrar ao software Nextcloud.

A versão mais atual do Onlyoffice nesse momento é a 7.3, que possui recursos muito interessantes, especialmente a criação de formulários preenchíveis.

O Onlyoffice possui também a versão Enterprise, que pode ser adquirido com um parceiro como a BKTECH (https://www.bktech.com.br)

Primeiro, vamos baixar a imagem do Onlyoffice Community Edition:

docker pull onlyoffice/documentserver

Vamos criar o diretório /app/onlyoffice/DocumentServer/data/certs para copiar o certificado assinado para esse diretório (copie o seu certificado assinado com o certificado com o nome onlyoffice.crt e a chave privada com o nome onlyoffice.key:

mkdir -p /app/onlyoffice/DocumentServer/data/certs

Vamos criar o container do Onlyoffice que irá iniciar na porta 8443:

docker run -i -t -d --restart always --name onlyoffice-document-server1 -p 8443:443 -v /app/onlyoffice/DocumentServer/data:/var/www/onlyoffice/Data onlyoffice/documentserver

Sugestão: Verifique se o container foi iniciado corretamente através dos comandos “docker ps” e “docker logs -f “

Acesse o seu servidor na porta 8443 e a página de Welcome do Onlyoffice deve ser exibida:

A partir da versão 7.2, o JWT é habilitado por padrão, com um secret sendo gerado durante a instalação. Irá fará com que somente os softwares desejados possam acessar o onlyoffice, configurando esse secret.

Para obter o secret da sua instalação, execute o comando abaixo:

docker exec onlyoffice-document-server1 /var/www/onlyoffice/documentserver/npm/json -f /etc/onlyoffice/documentserver/local.json 'services.CoAuthoring.secret.session.string'

Para integrar com o Nextcloud, instale o aplicativo Onlyoffice através da interface de administração e configure para conectar no seu servidor Onlyoffice, inserindo o endereço e a chave secreta:

Zimbra: Ocultar os nomes alternativos (alias) do catálogo global

Olá! Gostaria de compartilhar uma configuração que observei ser necessária para diversos ambientes, que é o ocultar a exibição dos nomes alternativos (alias) das contas no catálogo global. Em muitos ambientes Zimbra as contas possuem nomes alternativos para permitir o login através de CPF ou matrícula, portanto é desejável ocultar essa exibição no catálogo.

Para ocultar os nomes alternativos do catálogo global, o atributo zimbraGalLdapAttrMap deve ser modificado, no domínio desejado. É importante observar que esse atributo possui múltiplos apontamentos, então tome cuidado para sempre usar os operadores “+” e “-“.

Primeiro, vamos remover o mapeamento que considera os nomes alternativos das contas, através do campo ZimbraMailAlias:

$ /opt/zimbra/bin/zmprov md dominio.com.br -zimbraGalLdapAttrMap zimbraMailDeliveryAddress,zimbraMailAlias,mail=email,email2,email3,email4,email5,email6,email7,email8,email9,email10,email11,email12,email13,email14,email15,email16

Agora, vamos inserir o mapeamento sem o mapeamento dos nomes alternativos:

$ /opt/zimbra/bin/zmprov md dominio.com.br +zimbraGalLdapAttrMap zimbraMailDeliveryAddress,mail=email,email2,email3,email4,email5,email6,email7,email8,email9,email10,email11,email12,email13,email14,email15,email16

Após alterar o atributo, basta esperar o próximo sincronismo automático do catálogo global do Zimbra (galsync) rodar que os nomes alternativos serão ocultados.

Passbolt: Gerenciador Open Source de senhas para equipes (com instalação no Rocky Linux)

Olá! Neste artigo gostaria de apresentar um gerenciador Open Source de senhas para equipes muito interessante, o PASSBOLT (https://www.passbolt.com) !

O Passbolt , que já está adequado para a GDPR e LGPD, pode ser instalado em diversas distribuições Linux e também como container. Além da versão Community o software também conta com uma versão Enterprise e uma versão em Cloud.

Continue lendo “Passbolt: Gerenciador Open Source de senhas para equipes (com instalação no Rocky Linux)”

Zimbra: Mudança no processo de atualização de patches (8.8.15 e 9.0)

Olá! Nesse artigo gostaria de compartilhar uma mudança no processo de atualização de patches do Zimbra, tanto para a versão 8.8.15 para a versão 9.0.

Para os últimos patches, alguns passos adicionais são necessários, conforme a documentação oficial:

https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/patch_installation

Desta forma, a atualização de determinados pacotes deve ser realizada antes da atualização dos demais pacotes. Lembrando que os pacotes do LDAP devem ser atualizados primeiramente. Veja abaixo a relação de pacotes para atualização antes dos demais pacotes:

LDAP:

zimbra-ldap-patch

MAILBOX:

zimbra-common-core-jar zimbra-common-core-libs zimbra-mbox-store-libs

Zimbra: Erro 502 ao acessar o cliente WEB

Olá! Nesse artigo compartilho uma solução possível para o erro “502” ao acessar o cliente WEB do Zimbra.

Seja em um ambiente Single Server ou Multi Server, ao acessar o cliente WEB, o serviço de PROXY do Zimbra irá responder a requisição e direcionar para o serviço Mailbox. Muitas vezes o serviço Mailbox está habilitado somente para responder como HTTPS, então o Proxy não conseguirá acessar se estiver direcionando as conexões para a porta HTTP.

Para configurar o Proxy para conectar na porta HTTPS do serviço Mailbox, basta alterar o parametro abaixo e reiniciar o serviço do Proxy:

zmprov ms zmhostname zimbraReverseProxySSLToUpstreamEnabled TRUE

zmproxyctl restart

Zimbra: Corrigindo erro “HTTP ERROR 500 java.lang.NoClassDefFoundError: Could not initialize class com.zimbra.soap.JaxbUtil” após atualização

Olá! Nesse artigo gostaria de compartilhar a correção para o erro “HTTP ERROR 500 java.lang.NoClassDefFoundError: Could not initialize class com.zimbra.soap.JaxbUtil” que pode ser exibido ao acessar o Zimbra após a atualização para a Zimbra 9 (Network Edition) OU após a aplicação de algum patch para a versão 8.8.15 (Network Edition e Open Source).

A correção para esse erro, que ocorre pelo script de atualização não conseguir atualizar o parâmetro “mailboxd_java_options” do zmlocalconfig, é adicionar as opções abaixo:

-Djava.security.egd=file:/dev/./urandom --add-opens java.base/java.lang=ALL-UNNAMED

Neste exemplo, vemos como fica o “mailboxd_java_options” com a correção do parâmetro:

zmlocalconfig mailboxd_java_options

mailboxd_java_options = -server -Dhttps.protocols=TLSv1.2 -Djdk.tls.client.protocols=TLSv1.2 -Djava.awt.headless=true -Dsun.net.inetaddr.ttl= -Dorg.apache.jasper.compiler.disablejsr199=true -XX:+UseG1GC -XX:SoftRefLRUPolicyMSPerMB=1 -XX:+UnlockExperimentalVMOptions -XX:G1NewSizePercent=15 -XX:G1MaxNewSizePercent=45 -XX:-OmitStackTraceInFastThrow -verbose:gc -Xlog:gc*=info,safepoint=info:file=/opt/zimbra/log/gc.log:time:filecount=20,filesize=10m -Djava.net.preferIPv4Stack=true -Djava.security.egd=file:/dev/./urandom --add-opens java.base/java.lang=ALL-UNNAMED

$ zmmailboxdctl restart