Sistema e serviços

Em seguida temos a aba “Sistema”, que permite gerenciar os usuários, editar os aplicativos do menu, acertar a hora, entre outras personalizações. Ela inclui também opções para importar documentos e configurações do Windows (caso ele esteja instalado em dual-boot), importar fontes e agendar backups:

O “Gerenciar usuários do sistema” abre o UserDrake, um gerenciador gráfico de usuários e grupos, baseado no system-config-users do Fedora. Ele oferece uma interface bastante prática para cadastrar novos usuários e grupos e gerenciar quais usuários fazem parte de quais grupos. Em um desktop, ele pode não parecer assim tão interessante, mas você vai passar a gostar dele se precisar administrar um servidor Samba com 800 usuários. 🙂

Outra opção importante é a “Habilitar/desabilitar serviços do sistema”. Ela abre o DrakXServices, onde você pode controlar quais serviços do sistema ficarão ativos, além de parar, iniciar ou reiniciar qualquer um deles:

Além de serem controlados através do painel, os serviços podem ser também controlados via terminal, através dos comandos “/etc/init.d/serviço start”, “/etc/init.d/serviço stop” e “/etc/init.d/serviço restart”, como em:

# /etc/init.d/smb restart

Para desativar um serviço permanentemente, usamos (no Mandriva e no Fedora) o comando chkconfig, como em:

# chkconfig bluetooth off

Para reativá-lo posteriormente, use o “chkconfig serviço on”, como em:

# chkconfig bluetooth on

Feitas as apresentações, vamos a uma descrição dos serviços que ficam disponíveis em uma instalação padrão do Mandriva 2009.1. Ela é um pouco longa e chata, mas vai ajudá-lo a entender melhor diversos componentes do sistema:

acpid: Este é o serviço responsável por monitorar as funções relacionadas ao ACPI (em conjunto com os módulos do kernel) e enviar informações sobre os eventos para os aplicativos correspondentes. O acpid é um serviço importante, já que sem ele as funções de monitoramento da carga da bateria, ajuste do clock do processador e (em muitas máquinas) até mesmo as teclas de função, deixam de funcionar.

alsa: O ALSA é o conjunto de módulos responsável pelo suporte a placas de som. Este serviço se encarrega de ativar os módulos apropriados, criar os dispositivos e desempenhar algumas funções secundárias, como salvar e restaurar os volumes. Mesmo que esteja sendo usado o PulseAudio ou outro servidor de som, os drivers do ALSA continuam sendo os responsáveis pelo acesso de baixo nível à placa de som.

anacron: Em qualquer distribuição Linux, diversas tarefas de manutenção do sistema são agendadas através do cron e executadas uma vez por dia, ou uma vez por semana, geralmente durante as madrugadas, quando presume-se que o PC não estará sendo utilizado. O anacron é um serviço responsável por executar as tarefas fora de hora, em casos em que o PC não fica ligado o tempo todo.

atd: O atd é outro serviço de agendamento de comandos. Ele não é tão usado quanto o cron e normalmente não é usado para tarefas de sistema (e sim para comandos que você mesmo agendar, eventualmente), mas em compensação ele quase não consome recursos do sistema, de forma que também não faz mal mantê-lo ativado.

avahi-daemon: O Avahi é uma implementação do protocolo Zeroconf, que nasceu como uma ideia da Apple para facilitar a configuração da rede, permitindo que as máquinas divulguem e descubram os serviços disponíveis. É uma daquelas ideias que parecem boas na teoria, mas viram uma bagunça quando implementadas na prática.

A menos que você seja um administrador de redes e esteja implantando uma rede com o Zeroconf, é recomendável desativar o avahi-daemon. Em situações normais, ele não deve atrapalhar, mas em alguns casos ele pode consumir excessivamente recursos do sistema e retardar a resolução de nomes, tornando o acesso mais lento.

bluetooth: Este é o serviço responsável pelo suporte genérico a dispositivos Bluetooth. Ele tem a função de ativar o transmissor Bluetooth (caso presente) e ativar as funções que são usadas pelo Kbluetoothd e outros aplicativos. Naturalmente, você não precisa dele se não usar um adaptador Bluetooth.

cpufreq: O cpufreq é o responsável por ajustar a frequência de operação do processor de acordo com a carga de trabalho, o que é uma função essencial em qualquer máquina atual. Desativando o serviço, o processador passará a trabalhar o tempo todo na frequência máxima, o que pode ser desastroso, sobretudo em notebooks. O cpufreq suporta o uso de perfis de desempenho (performance, powersave, etc.), que podem ser ajustados através da opção “Gerenciamento de energia” do Systemsettings (no KDE 4) ou através do applet “Monitor de frequência” (no GNOME).

crond: O cron é o agendador de tarefas padrão no Linux. Além de poder ser usado para executar scripts de backup ou de atualização do sistema (entre inúmeras outras possibilidades), ele é usado pelo sistema para diversas tarefas de manutenção. O “crond” é o serviço responsável por monitorar e executar as tarefas agendadas no cron e por isso nunca deve ser desativado.

Você pode agendar tarefas no cron através do arquivo “/etc/crontab”, ou através das pastas “/etc/cron.hourly” (scripts executados uma vez por hora), “/etc/cron.daily” (uma vez por dia), “/etc/cron.weekly” (toda semana), “/etc/cron.montly” e “/etc/cron.yearly”. Ele é também utilizado por diversos aplicativos gráficos que permitem agendar tarefas. Veja mais detalhes sobre a configuração no capítulo 1 do livro Servidores Linux, Guia Prático.

cvs: O CVS é um sistema de controle de versões muito utilizado em projetos colaborativos para disponibilizar código-fonte de programas e documentos em geral. Este é um serviço que deve ficar desativado, menos que você realmente pretenda rodar um servidor CVS na sua máquina.

dm: No Mandriva, este é o serviço responsável pela ativação do KDM ou do GDM, que se encarregam de ativar o ambiente gráfico. Desativar este serviço é uma maneira rápida de derrubar o X em situações que você precisa desativá-lo, como ao instalar o driver da nVidia.

dund: Este serviço controla um recurso muito específico: a criação da porta serial que é usada ao conectar à web usando um smartphone via Bluetooth. Você pode ler mais sobre acesso móvel e a configuração no Linux no capítulo 5 do livro Smartphones, Guia Prático.

haldaemon: Este é o serviço responsável pelo HAL, que, como vimos no capítulo 1, é o encarregado de monitorar a conexão de dispositivos disponíveis, ativar a placa de rede cabeada quando um cabo de rede é conectado e diversas outras operações. Ele é um dos serviços básicos em qualquer distribuição atual, por isso é desativado apenas em casos muito específicos.

hidd: Este é mais um serviço relacionado ao Bluetooth, responsável por permitir a conexão de mouses e teclados. Se você estiver tendo dificuldades em ativar seu mouse Bluetooth usando o KBluetooth (o responsável pelo ícone ao lado do relógio), é bem provável que esse serviço esteja desativado.

Em distribuições derivadas do Debian (incluindo o Ubuntu), o dund e o hidd são integrados ao serviço principal do Bluetooth, e são ativados ou desativados através da configuração colocada no arquivo “/etc/default/bluetooth”.

Usando as linhas “HIDD_ENABLED=0” e “DUND_ENABLED=0”, eles ficam desativados e mudando para “HIDD_ENABLED=1” e “DUND_ENABLED=1” eles ficam ativos. Como de praxe, a configuração é ajustada automaticamente pelos aplicativos de configuração. Ao conectar um mouse Bluetooth usando o ícone ao lado do relógio, por exemplo, o hidd será automaticamente ativado.

iptables: O Iptables é o firewall padrão do sistema, incorporado diretamente ao kernel. Além de ser configurado através de aplicativos gráficos (como o Firestarter) ou através de interfaces de configuração (como o Segurança > Configurar Firewall” disponível no Centro de Controle do Mandriva), o Iptables pode ser configurado diretamente, através de comandos de terminal.

Em ambos os casos, as regras de Firewall são salvas no arquivo “/etc/sysconfig/iptables”, e são ativadas durante o boot pelo serviço “iptables”. Ao desativar o serviço, você desativa o Firewall, e faz com que o sistema utilize as políticas-padrão (que, dependendo da distribuição, podem ser definidas para permitir tudo, ou bloquear tudo).

Este serviço também existe em distribuições derivadas do Debian e funciona basicamente da mesma maneira. A principal diferença é que, no caso delas, a configuração é armazenada no arquivo “/etc/default/iptables”.

ip6tables: Esta é a versão do Iptables que trabalha em conjunto com o protocolo IPV6. Ela foi desenvolvida com o objetivo de conviver pacificamente com a versão antiga. Como quase todas as distribuições atuais mantêm o suporte a IPV6 ativo por padrão, é interessante manter também o ip6tables ativo, para evitar eventuais brechas de segurança.

irqbalance: Este é um pequeno daemon que tem como missão dividir as interrupções de IRQ entre os processadores em sistemas SMP, melhorando sutilmente o desempenho e reduzindo o consumo de energia do sistema.

A grande observação é que esta abordagem só funciona em máquinas com dois soquetes (ou seja, dois processadores separados), e não em máquinas com um único processador dual-core (onde os núcleos utilizam um cache L2 ou L3 compartilhado), que são a grande maioria. No caso delas, o irqbalance simplesmente fica inativo, para evitar o desperdício de ciclos de processamento. É por isso que quase sempre o mcc mostrará que ele está parado, muito embora a opção “Na inicialização da máquina” esteja marcada. Nesses casos você pode simplesmente desativar o serviço.

keytable: Este serviço tem uma função bem simples: carregar a configuração para o layout do teclado, para que ele seja ajustado logo no início do boot. O layout pode ser ajustado usando o comando “kbdconfig” (como root), que está disponível em qualquer distribuição.

No caso do Mandriva, o comando ajusta também a configuração do teclado no X, fazendo com que a configuração fique interligada; mas, em outras distribuições, as duas configurações podem ser separadas, com a configuração do teclado dentro do ambiente gráfico sendo definida através do arquivo xorg.conf, ou através da configuração do KDE ou do GNOME.

kheader: Este serviço (encontrado apenas em distribuições derivadas do Red Hat) é um pequeno script que gera o arquivo “/boot/kernel.h” durante o boot. Este arquivo contém algumas informações sobre as opções usadas para compilar o kernel (se o suporte a SMP foi ativado, se ele possui suporte a PAE, e outras informações do gênero). A ideia é que ele seja usado durante a compilação de alguns programas e drivers.

laptop-mode: É responsável por ativar diversas opções relacionadas ao consumo de energia, aumentando sutilmente a autonomia das baterias em notebooks. Um dos principais tweaks é permitir que o HD seja desligado com maior frequência, já que depois da tela e do processador, ele é o componente que mais consome energia.

Este serviço tem uma mancha negra na reputação, já que foi o causador do célebre bug que abreviava a vida útil do HD, que afetou versões do Ubuntu e do Mandriva. Apesar disso, o problema foi resolvido em 2007 e, desde então, ele voltou a ser considerado seguro. Ele não é tão efetivo quanto poderia se esperar (especialmente no KDE 4.2, onde já temos o PowerDevil, que realiza um bom trabalho, especialmente em notebooks), mas existem situações em que qualquer ganho na autonomia pode ser importante. 🙂

mandi: O Mandi é um detector de intrusões otimizado para uso em desktops. Ele tem a função de monitorar os pacotes de entrada, detectando indícios de ataques, como por exemplo portscans. Sempre que um possível ataque é identificado, ele bloqueia o acesso temporariamente usando regras de firewall e envia uma mensagem ao gerenciador de conexões de rede usando o dbus, o que gera uma mensagem visual, exibida através de um applet ao lado do relógio.

Ele é usado por padrão no Mandriva e em algumas outras distribuições e, como qualquer outro sistema de detecção de intrusões, acaba por exibir alguns falsos positivos. Isso faz com que muitos prefiram desativá-lo, usando um firewall simples em seu lugar. Ele também deve ser desativado se você pretender utilizar o Firestarter ou outro firewall gráfico.

messagebus: Este é o serviço responsável pelo DBUS, o servidor de mensagens que é o encarregado de transportar as mensagens geradas pelo HAL e outros componentes do sistema. Ele é um dos serviços básicos do sistema e nunca deve ser desativado.

netconsole: Em servidores, os logs do sistema são uma das preocupações do administrador, já que são eles que permitem identificar acessos não autorizados. Para evitar que um eventual invasor possa alterar os logs e assim encobrir seus rastros, muitos administradores configuram seus servidores para armazenarem os logs em um servidor remoto, usando o netconsole. Naturalmente, ele não é muito útil em um desktop, tanto que fica desativado por padrão no Mandriva.

netfs: No Linux, é possível especificar compartilhamentos de rede (NFS, Samba, ou mesmo compartilhamentos do Netware) a serem montados durante o boot através do arquivo “/etc/fstab”. Estes compartilhamentos de rede são montados logo no início do boot, o que possibilita o uso de truques como colocar os diretórios home de todas as máquinas da rede em diretórios compartilhados em um servidor de arquivos NFS, por exemplo.

O netfs é o serviço responsável pela montagem, que só precisa ficar ativo caso você monte compartilhamentos de rede através do fstab. No caso do Mandriva, ele é usado também se você utilizar as opções para montagem de compartilhamentos do mcc.

network: Este é o serviço responsável pela ativação das interfaces de rede. Desativá-lo, é uma forma rápida de derrubar a rede e, reiniciá-lo, faz com que o sistema releia os arquivos de configuração de rede, fazendo com que uma nova configuração entre em vigor. Este serviço é encontrado em praticamente todas as distribuições, mas existem diferenças na forma como a configuração da rede é armazenada.

No Mandriva e em outras distribuições da família do Red Hat, a configuração da rede é armazenada na forma de diversos arquivos dentro do diretório “/etc/sysconfig/network-scripts/”; enquanto nas distribuições derivadas do Debian é usado um único arquivo, o “/etc/network/interfaces”. Em ambos os casos, o serviço se encarrega também de carregar as regras de firewall (caso definidas no “/etc/sysconfig/iptables” ou no “/etc/default/iptables”).

Hoje em dia, a configuração da rede é quase sempre feita usando utilitários gráficos, como no caso do drakconnect e do NetworkManager, mas saber como configurar a rede manualmente ainda pode ser útil em muitas situações.

nfs-common: Este serviço ativa os componentes básicos necessários para montar compartilhamentos via NFS. Ele é uma maneira prática de compartilhar arquivos entre máquinas Linux, mas é pouco usado em redes locais, onde o Samba e os compartilhamentos de rede do Windows são de longe os mais usados.

nscd: Este daemon funciona como uma espécie de “cache” para funções de autenticação. Ele pode ser útil ao utilizar servidores LDAP ou NIS, mas não é necessário para uso normal do sistema.

pand: Se você achava que os serviços relacionados ao Bluetooth tinham acabado no hidd, aqui vai mais um. O pand é o responsável pela criação de conexões de rede via Bluetooth. Ele pode ser usado para interligar micros em rede através dos transmissores (pouco usado, já que o alcance é curto e a taxa de transferência é muito baixa) e é usado também ao usar smartphones com o Windows Mobile como modem.

partmon: Este é um script simples, que monitora o espaço livre nas partições montadas e insere entradas nos logs do sistema sempre que o espaço livre em uma das partições está prestes a se esgotar. Ele é usado por alguns serviços para gerar alertas, mas no geral não é importante.

portmap: O portmap é outro serviço relacionado ao NFS, responsável por escutar as portas utilizadas para transmissão dos dados. Se o portmap estiver desativado, o sistema fica um longo tempo tentando montar os compartilhamentos e no final retorna uma mensagem de erro. Alguns outros serviços de rede, como o NIS, também utilizam o portmap, mas eles são pouco comuns hoje em dia.

preload: O preload tem a missão de acelerar o boot, lendo antecipadamente arquivos e bibliotecas que serão usados mais adiante. Em alguns casos, ele pode reduzir o tempo de boot em 10 segundos ou mais, mas na maioria das situações o ganho é muito pequeno e você pode desativá-lo se quiser manter as coisas simples. Outro serviço similar é o readahead, tipicamente encontrado em distribuições derivadas do Fedora.

resolvconf: Este é mais um script simples, que tem como função reescrever o arquivo “/etc/resolv.conf” (onde vão os endereços dos servidores DNS usados) seguindo a configuração da rede. Ele faz parte dos serviços responsáveis pela configuração da rede e, em situações normais, deve ficar ativado. Entretanto, você pode desativá-lo caso queira especificar os endereços dos servidores DNS manualmente e não queira que o arquivo seja sobrescrito no próximo boot.

rsync: O rsync é um software de sincronismo entre duas pastas que é capaz de funcionar via rede, sincronizando duas pastas em servidores remotos. Ele é capaz de transferir apenas os trechos dos arquivos que foram modificados, uma eficiência que faz com que ele seja muito usado em scripts de backup.

O serviço “rsync” aparece sempre que o pacote é instalado. Ele responde pelo componente servidor do rsync, que permite que sua máquina seja contatada por clientes remotos. Ele é raramente usado hoje em dia (o mais comum é tunelar o rsync via SSH, como você pode ver em detalhes no capítulo 13 do livro Servidores Linux, Guia Prático), por isso deve ficar sempre desativado.

shorewall: O shorewall é o firewall padrão do Mandriva. O serviço acompanha a configuração do firewall feita através do “Segurança > Configurar Firewall” do mcc, ficando ativado quando o firewall é configurado através do painel.

sshd: Caso o servidor SSH (pacote “openssh-server”) esteja instalado, este serviço permite ativá-lo ou desativá-lo conforme desejado. O SSH oferece muitos recursos (acesso remoto, transferência de arquivos, criação de túneis, etc.) e representa um risco de segurança muito pequeno, por isso é muito comum que ele seja usado mesmo em desktops.

syslog: O syslog é o serviço responsável por escrever os logs do sistema, a partir das mensagens enviadas pelos diferentes serviços. Ele não é obrigatório, mas é sempre interessante mantê-lo ativado, com exceção de casos em que você queira desativar os logs para reduzir os acessos ao HD (e assim poder mantê-lo em modo de baixo consumo por mais tempo, economizando energia), como no caso dos notebooks.

udev-post: O udev é o responsável por gerenciar os devices relacionados a dispositivos, conforme eles são plugados e removidos. Ele oferece diversas opções, tais como fazer com que os dispositivos recebam sempre os mesmos devices, independentemente de em qual ordem ou em que portas sejam plugados e, mais importante, pode ser programado para executar comandos ou scripts conforme os dispositivos são ativados (através de regras salvas no diretório “/etc/udev/rules.d”), o que abriu muitas possibilidades.

Não é preciso dizer que o udev é mais um dos componentes básicos relacionado com o gerenciamento de dispositivos no Linux, que deve ficar sempre ativo. O udev-post é um sub-componente do udev, que tem como função salvar regras geradas por outros componentes do sistema, fazendo com que elas se tornem persistentes.

xinetd: Sucessor do antigo inetd, o xinetd tem a função de monitorar determinadas portas TCP e carregar serviços sob demanda. Isto evita que serviços e utilitários que são acessados esporadicamente fiquem ativos o tempo todo, consumindo recursos do sistema. Em vez de um único arquivo de configuração, com uma linha para cada serviço, o xinetd utiliza um conjunto de arquivos de configuração (um para cada serviço) que são armazenados na pasta “/etc/xinetd.d/”.