Olhar penetrante - Linux Magazine Online

SEGURANÇA
SSEGURANÇA | Monitoramento com NAS
60
Monitoramento com NAS
Olhar penetrante
Tire proveito do baixo consumo de energia
oferecido por dispositivos NAS modernos
para monitorar suas câmeras.
por Ben Martin
O
moderno hardware NAS
possui a CPU embutida que
muitas vezes oferece grande
desempenho com baixo consumo de
energia. Muitas destas unidades necessitam
de menos de 10 watts para
operar com uma conexão de rede
gigabit e a CPU a 100% de uso. Um
NAS com baixo consumo de energia
pode consumir de 10% a 20% da eletricidade
que um hardware desktop
precisa para funcionar. A principal
questão passa a ser então: seria a CPU
do NAS “rápida o sufi ciente” para
monitorar e detectar o movimento
de uma ou mais câmeras?
Neste artigo, examinaremos se o
QNAP TS-219P II [1] , com uma CPU
ARM Marvell de 2 GHz e 512MB de
RAM, está pronto para o desafi o de
detecção de movimento em tempo
real ( fi gura 1 ). Note que grande parte
do artigo também deve ser diretamente
aplicável ao seu primo mais barato
de carcaça única, o QNAP TS-119p
II , que ostenta a mesma CPU/RAM.
Uma solução popular para monitoramento
com câmera e detecção de
movimento é a suite ZoneMinder [2] .
As câmeras podem ser tanto de rede
IP como câmeras USB conectadas
diretamente ao servidor ou em outra
máquina na rede. O ZoneMinder
pode monitorar todas as suas câmeras,
detectar movimento em áreas-chave
ou zonas, e notifi cá-lo sobre a atividade
em áreas de interesse. As zonas
limitam a área de monitoramento,
de modo que o ZoneMinder pode
ver quando alguém caminha até sua
garagem sem que o vento nas árvores
acione um alarme falso.
Duas empresas que fazem hardware
NAS usando CPU ARM de alto nível
são a Synology e a QNAP . Produtos
de baixa capacidade com CPUs de
1.2GHz e 256MB de RAM também
estão disponíveis, assim como modelos
Listagem 1: Instalação do Debian Wheezy
01 # for if in `seq 1 6`; do
02 cat /dev/mtdblock$if > mtd$if
03 done
04 # cp mtd* /share/external/sdi1/
05 # sync
06 # export DIST= ftp://ftp.debian.org/debian/dists/wheezy/main/
installer -armel/current/images/kirkwood/network-console/qnap/ts-219/
07 # wget $DIST/flash-debian $DIST/initrd.gz $DIST/kernel $DIST/model
08 # sh flash-debian
09 Your MAC address is 00:08:9B:C8:D7:11
10 # reboot
11 # exit
mais sofi sticados com CPUs de 2GHz
e 512MB de RAM. No intervalo dos
1,2 GHzz estão o Synology DS212j e
o QNAP TS-212; no intervalo dos 2
GHz estão o Synology DS212+ e o
QNAP TS-219P II, juntamente com
o de carcaça única QNAP TS-119p II.
Tanto o produto da QNAP quanto
o da Synology vem com sua própria
distribuição Linux. Ambas as unidades
NAS permitem usar o gerenciador de
pacotes ipkg para instalar aplicativos de
código aberto adicionais e complementar
o software embarcado. Por exemplo, o
leitor pode instalar o padrão CoreUtils
ao invés dos binários-padrão BusyBox .
Instalação
Se o usuário não possuir um dispositivo
NAS instalado, a confi guração inicial
para este aparelho exige que seja feita
a remoção de uma (ou mais) bandejas
individuais de disco rígido, um parafuso
do disco da bandeja, e o deslizamento
de volta para a unidade. Uma vez que
os cabos de energia e rede estiverem
conectados, teremos completado a
confi guração de hardware. Por outro
lado, o Synology DS212j desliza em
duas partes separadas, e fi xamos o disco
rígido diretamente em um gabinete
de disco rígido interno antes de fazermos
o mesmo com a capa exterior do
Synology NAS.
Quando ligamos o TS-219P II, o
dispositivo tentará obter um endereço
www.linuxmagazine.com.br

IP via DHCP, após o qual podemos
efetuar login em uma interface online
do dispositivo NAS e concluir a instalação.
A confi guração inicial do TS-219P
II envolve o upload de um arquivo de
imagem “fi rmware” de 140 MB ( fi gura
2 ). Após o NAS reinicializar e cair na
distribuição Linux que acabamos de
carregar, é preciso responder algumas
perguntas sobre localidade, senhas e
preferências do aplicativo ( fi gura 3 ).
Para muitos fi ns, a combinação de
pacotes nativos do fornecedor NAS
complementada com pacotes disponíveis
através do ipkg é sufi ciente. Se o
aplicativo que o usuário necessita não
está incluso no ipkg, é possível compilá-
-lo e instalá-lo. Este processo geralmente
envolve a criação de um ambiente em
máquina virtual para a CPU ARM em
uma máquina desktop, bem como a
compilação do software. Normalmente,
os cabeçalhos de desenvolvimento de
software no NAS não estão disponíveis
facilmente sob a forma de pacotes para
instalação no próprio equipamento.
Como instalar o
Debian no ARM
Para uma personalização mais avançada,
temos a opção de instalar o Debian
ao invés de utilizar o fi rmware de fábrica.
Instalar o Debian permite acessar
o ZoneMinder através do gerenciador
de pacotes e compilar o software mais
facilmente na máquina NAS.
A instalação do Debian em uma
máquina ARM personalizada [3] pode
parecer assustadora pela primeira vez.
Histórias de pessoas com instalação
pela metade que viram apenas “tijolos
caros” são folclore comum; para tornar
as coisas mais intrigantes, não temos
qualquer tela ligada ao dispositivo que
permita descobrir o que deu errado.
Além disso, teremos que confi gurar
o suporte de opções personalizadas
para o hardware fornecido, como
alto-falantes, LEDs e fans.
Dito isto, o processo de instalação
do Debian é bastante simples e
Linux Magazine #95 | Outubro de 2012
Figura 1
provavelmente mais até que a confi -
guração do ambiente de compilação
necessário para ampliar o número de
softwares se continuarmos a usar o
fi rmware fornecido [4] . Para prosseguir,
siga os seguintes passos:
1. Opcionalmente, faça uma cópia
de segurança do fi rmware do cartão
de memória no NAS.
2. Baixe o Debian fl asher, kernel,
metadados, e arquivos de instalação
initrd.
3. Instale os arquivos na memória
fl ash do NAS.
4. Reinicie.
5. Conecte-se via SSH no NAS e
conclua o processo com a interface
Figura 2
Equipamentos: QNAP TS-219P II NAS, uma câmera
TP-Link TL-SC3171G, e um disco de 2TB WD Green.
Monitoramento com NAS | SEGURANÇA
de instalação do Debian, que é baseada
em console.
Uma vez que o passo 5 tenha sido
concluído, o programa irá reinstalar
a memória do NAS para iniciar em
um novo sistema Debian.
Além do kernel e o initrd residente
na memória fl ash do NAS, as etapas
restantes para instalar o Debian são
exatamente as mesmas que existem
em uma máquina desktop. Como veremos
mais adiante, o primeiro passo
para fazer uma cópia de segurança
do fi rmware existente é opcional.
O instalador Debian convenientemente
pega as confi gurações de
hosts e de rede que havíamos feito
Enviando a imagem mais recente do fi rmware do site da QNAP.
61

SSEGURANÇA | Monitoramento com NAS
62
Figura 3
Uma vez que o fi rmware é gravado em disco, confi gure seu login,
localização, IP, e serviços de informação.
com o fi rmware QNAP normal e as
reutiliza para a instalação do Debian.
A maioria das perguntas são sobre
localização e como desejamos que
discos e partições sejam confi gurados.
Em nossa instalação do Debian
“Wheezy” ( listagem 1 ), os primeiros
cinco comandos criam uma cópia de
segurança da memória fl ash existente
em um pendrive. Na linha 6 , os quatro
arquivos de instalação do Debian
mencionados no passo 2 são baixados,
enquanto um comando flash-debian
na linha 8 nos coloca na memória fl ash
do QNAP, pronto para ser carregado
quando o NAS for reiniciado.
Após o NAS ser reiniciado, devemos
ser capazes de fazer ssh nele como installer@NAS
usando a senha install . Provavelmente
teremos que remover a chave
do host do arquivo ~/.ssh/known_hosts
para o SSH não considere que o host
mudou sua chave de forma inespera-
Figura 4 Iniciando a instalação do Debian via SSH.
da desde a última conexão. Em seguida,
o usuário deverá ver um menu de
boas-vindas como o da fi gura 4 .
Perto do fi nal da instalação, teremos
a chance de alterar a seleção de
aplicativos. É muito importante que
o usuário não se esqueça de instalar a
opção de servidor SSH, para que possa
conectar-se facilmente no NAS quando
o Debian instalado for executado.
Além disso, precisaremos de um servidor
online, um banco de dados SQL,
e um servidor de arquivos enquanto
estivermos neste menu. Apesar de um
servidor de arquivos não ser realmente
necessário para o ZoneMinder, se o usuário
possuir algum espaço sobrando no
seu disco rígido, pode desejar acessá-lo
através da rede para outros fi ns.
Quando a instalação estiver concluída,
o instalador pede que sejam
removidos todos os discos CD-ROM
ou de instalação (que não temos). Na
reinicialização, devemos ser capazes de
fazer um ssh como root e encontrar uma
ótima máquina Debian nos aguardando.
Com um disco WD Green de 2TB executando,
o NAS ocioso deve consumir
cerca de 10 watts de energia ( tabela 1 ).
Fora das cinzas
Uma desvantagem de usar fi rmware
personalizado em um hardware especializado
é descobrir o que fazer quando as
coisas dão errado. Tínhamos um drive
Green de 2TB sobrando e, enquanto este
artigo estava sendo escrito, descobrimos
por que ele não estava em uso ativo.
Depois que substituímos o kernel
na memória fl ash do NAS com o kernel
e a imagem initrd do Debian, o
sistema queria encontrar uma instalação
Debian para inicializar a partir
do disco rígido. O problema era que
o disco não queria mais funcionar e,
para os objetivos desta análise, não tínhamos
nos dado ao trabalho de criar
um RAID espelhado agradável para o
caso de uma simples falha de disco.
Esta situação parece ser um cenário
do pior caso: um disco rígido
danifi cado; o fi rmware na memória
fl ash sobrescrito com software que
espera que o disco esteja por ali; sem
inicialização; sem visor.
Felizmente, mesmo quando sobrescrevemos
a memória fl ash do equipamento
QNAP, podemos colocá-lo
em um modo que tentará recuperar a
partir da rede a informação que deve
estar na memória fl ash [5] . Melhor
ainda, o QNAP oferece uma imagem
de boot do Linux que contém
um servidor TFTP para transmitir a
imagem fl ash para o NAS.
Ao ligar o laptop diretamente no
NAS, iniciar a partir do disco de
recuperação no laptop e segurar o
botão reset enquanto liga o NAS, o
usuário poderá ativar esse modo de
recuperação. Uma vez que o NAS
ligar, serão ouvidos bipes e diferentes
cores LEDs piscarão para que esteja
ciente de que algo está acontecendo;
no fi nal, terá o NAS com o mesmo
www.linuxmagazine.com.br

software no fi rmware de quando o
comprou, poupando-o de um NAS
personalizado que não iria inicializar.
Em seguida, podemos colocar o instalador
do Debian de volta na memória
fl ash do NAS e escolher com mais
sabedoria na pilha de discos rígidos
disponíveis. É claro que, em produção,
todo mundo usa um RAID espelhado
ou tem um sólido, automatizado e testado
sistema de backup incremental
em funcionamento, não é mesmo?
ZoneMinder
As principais dependências do Zone-
Minder são Perl, MySQL, OpenSSL,
a biblioteca JPEG, alguns módulos
Perl, e (opcionalmente) FFmpeg. O
ZoneMinder inclui código PHP, C++
e Perl. Depois de instalar o Debian no
sistema, podemos tirar proveito dos
repositórios de pacotes para instalar o
ZoneMinder sem ter que compilá-lo. A
instalação é simples como chamar um :
apt-get install zoneminder
resultando em cerca de 170 MB de
espaço adicional usado no NAS.
Para iniciar a interface online do
ZoneMinder, temos que criar um
link do arquivo de confi guração do
site no diretório conf.d do Apache:
# ln -s /etc/zm/apache.conf /etc/
apache2/conf.d/zoneminder.conf
# /etc/init.d/apache2 restart
Com este link no lugar e o Apache
reiniciado, devemos ver a interface
online do ZoneMinder em
http://NAS/zm/, supondo que NAS
é o endereço IP da unidade NAS.
O botão Add New Monitor na parte
inferior da interface do ZoneMinder
permite que adicionemos uma nova
câmera no sistema ( fi gura 5 ). Para este
exemplo, usaremos duas câmeras: a
TP-Link TLSC3171G 640x480 IP e
a Logitech C910 USB 1080p . A parte
complicada na confi guração de
câmeras é saber o que o caminho
do host remoto ( Remote Host Path )
deve ser e ter a certeza de que a re-
Linux Magazine #95 | Outubro de 2012
solução da imagem, largura e altura
em pixels coincide com a saída da
câmera ( fi gura 6 ).
Além disso, precisamos saber o
endereço IP e a porta da câmera
e, via HTTP, pode ser necessário
entrar com o URL para começar a
usar os dados da câmera. Para uma
câmera de 640x480, espere utilizar
cerca de 10% da CPU somente do
ZoneMinder para transmitir dados
a uma baixa taxa de quadros [6] .
Adicionar zonas para detectar movimento
em áreas críticas da imagem
irá adicionar mais uso de CPU neste
valor. Nossa confi guração NAS teve
que usar até 25% da CPU para atender
ao streaming de vídeo a partir de
uma webcam com 640x480 para o
Firefox ( fi gura 7 ).
Com a câmera TP-Link apontada
para uma cena escura ao ar livre
à noite, a detecção de movimento
manteve-se em cerca de 15% da
CPU para quadro cheio ( full frame
– 640x480) de detecção em uma taxa
de quadros baixa ( tabela 2 ).
Memória
compartilhada
O ZoneMinder precisa manter as
imagens recentes que recebe das câmeras
em algum lugar na memória.
Nas versões anteriores, o ZoneMinder
usava memória compartilhada
para armazená-las. Agora, ele cria e
usa arquivos de memória mapeados
em /dev/shm . Independentemente de
qual sistema esteja em uso, pode ser
necessário adequar o NAS para fazer
o armazenamento correto de memória
disponível para estas imagens.
O ZoneMinder 1.25.0 do Debian
Wheezy utilizado neste artigo usa o
dospositivo /dev/shm para as imagens.
A instalação padrão criou um sistema
de arquivos tmpfs com um tamanho
limite de 100MB. O ZoneMinder
precisa de cerca de 100MB para uma
única câmera de 1280x720, e cerca
de 35MB para uma única câmera de
Figura 5
Monitoramento com NAS | SEGURANÇA
Inclusão de uma nova
câmera no ZoneMinder.
640x480. Para calcular a quantidade
de memória necessária para o armazenamento
de imagens da câmera,
encontre a memória (bytes) para um
único quadro: largura(px) x altura(px)
x 3(RGB). Estas imagens são armazenadas
numa área de buffer na memória.
O padrão que utilizamos foi
de 40 imagens no buffer para uma
câmera. O comando :
mount -o remount,size=256m /dev/shm
vai dedicar mais memória para imagens
do ZoneMinder. Para fazer isso funcionar
após uma reinicialização, edite
o arquivo /etc/default/tmpfs e defi na
shm_size para o tamanho que desejar.
Para economizar memória para
câmeras maiores, ajuste o tamanho
de buffer para quadros de imagem
mostrado na guia Buffers das confi -
Figura 6 Confi guração de uma câmera
de rede no ZoneMinder.
63

SSEGURANÇA | Monitoramento com NAS
64
gurações da câmera. Descobrimos
que para usar menos quadros tivemos
que excluir, por exemplo, zm.mmap.2
de /dev/shm e fazer o ZoneMinder recriar
um novo arquivo menor quando
aceitamos a confi guração da câmera.
Usar 20 quadros para uma câmera de
720p requer apenas 53MB de RAM.
Como detectar
eventos
O que faz o ZoneMinder interessante
é a sua capacidade de detectar movimento
em áreas críticas de um quadro
da câmera e gravar o vídeo automaticamente
quando o movimento ocorre.
Depois de colocar a câmera no modo
de detecção de movimento clicando
no link Função da câmera na página
inicial de instalação do ZoneMinder,
podemos mascarar partes do quadro
de vídeo clicando no link Zonas da
câmera. Desta forma, o ZoneMinder
ignora movimento fora da sua área
de interesse.
Muitos fatores determinam a quantidade
de CPU que é necessária
para a detecção de movimentos:
o tamanho da imagem da câmera,
imagens em cores ou imagens em
escala de cinza, o número de quadros
por segundo de um processo,
a dimensão das zonas de detecção,
e os parâmetros utilizados no algoritmo
de detecção.
Watts Ação
1 NAS desligado, mas com cabo plugado
7 Disco com giro baixo e nenhum cabo de rede
8 Disco com giro baixo
10 Em execução com o disco girando
13 Discos girando e executando o OpenSSL
Tabela 1 Uso de energia com o fi rmware de fábrica .
Quando clicamos no nome de uma
câmera no ZoneMinder, é mostrada
uma visualização ao vivo do que a
câmera está captando, junto com
uma lista dos eventos que foram detectados
recentemente e a capacidade
de forçar o disparo de um alarme. O
disparo de um alarme tem o mesmo
efeito que forçar o ZoneMinder a
pensar que um movimento signifi -
cativo ocorreu na câmera.
Em nosso primeiro teste, usamos
uma câmera TPLink com 640x480 a
5fps. O monitoramento usou 15% da
CPU, e forçar um estado de alarme
causou um salto de até 26% da CPU.
Após a confi rmação de um alarme
disparado pelo ZoneMinder indicando
movimento real na câmera,
foi confi rmado o mesmo salto para
26% de uso de CPU no NAS.
Monitoramento com uma C910
Logitech através da rede com resolução
de 1280x720 a 10fps consumiu
72% de CPU do NAS. Baixando para
2fps com a mesma câmera usou até
22% da CPU. A visualização ao vivo a
2fps consumiu um adicional de 40%
de CPU. Claramente, câmeras de
monitoramento de 720p a 30fps estão
além do que a CPU no NAS pode
segurar, e detecção de movimento a
10fps provavelmente não é possível,
mas se voltarmos alguns quadros por
segundo com a mesma câmera, pode
ser bom a 720p se o usuário desejar
utilizar apenas uma câmera.
% CPU RAM (MB) Tarefa (Processo)
6-12 43 Monitorar apenas à noite (zmc)
15-25 41 Visualizar no Firefox (nph-zms)
15 42 Detecção de movimento, quadro completo, à noite (zma)
Tabela 2 Uso de CPU e RAM da TP-Link (5fps) .
Uma câmera USB ultrabarata com
640x480 que só pode produzir vídeo
YUYV conectada à porta USB2 do
NAS sendo usada a 5fps precisa de
cerca de 15% da CPU para monitorar
e 50% para transmitir. A detecção de
movimento em quadro cheio nesta
câmara requer um adicional de 40%
de CPU, que tem picos de até 80%
se um estado de alarme é disparado.
O uso da CPU não mudou muito
entre as predefi nições rápida e melhor
com baixa, média e altas sensibilidades.
Reduzir para uma área de
alarme de 100x100 diminuiu o uso
da CPU a 35%.
Mudar a câmera ligada localmente
para a C910 da Logitech e
tentar a resolução de 1280x720 a
5fps dividiu o uso de CPU 50-50
entre monitorar a câmera e verifi -
car movimentos nos quadros. Tal
divisão de 50-50 parecia suspeita, já
que a detecção de movimento deve
ser mais custosa do que o simples
monitoramento. Depois de voltar
para 3fps, o monitoramento usou
apenas 30% da CPU e a detecção
de movimento usou 68%. Depois de
voltar para 640x480 a 4 fps, o monitoramento
consumiu 12% de CPU
e a detecção de movimento, 28%.
Logo, se o usuário quiser usar este
processador, qualquer coisa acima
de 640x480 é susceptível a causar
problemas de desempenho.
Mergulho no código
Pelo fato de não vermos muita diferença
no uso de CPU para cada um dos
algoritmos de detecção de movimento
que o ZoneMinder oferece, decidimos
dissecar um pouco o código. O
código chama Monitor::DetectMotion()
a cada quadro para trabalhar a pontuação
(quantidade de movimento)
e se um alarme foi acionado. Tendo
esse método retornar “sem alarme”
de imediato ao invés de detecção de
movimento real resultou em cerca de
8% da CPU a ser utilizada para uma
câmera de 640x480 executando a 6fps.
www.linuxmagazine.com.br

Uma das primeiras coisas que DetectMotion()
faz é criar uma imagem
delta, medindo o quanto o quadro
atual difere de um quadro de referência.
A imagem delta apenas registra
a intensidade da diferença para cada
pixel em vez da diferença de cada
vermelho, verde e azul. Para fazer a
imagem delta e excluí-la novamente
antes de retornar nenhum alarme,
15% da CPU foi necessária – antes
de qualquer detecção de movimento
ter ocorrido.
O núcleo do método Imagem::Delta()
cria uma imagem delta e registra quanto
cada pixel é diferente de uma imagem
de referência:
...
red = y_r_table[*psrc++ - *pref++];
green = y_g_table[*psrc++ - *pref++];
blue = y_b_table[*psrc++ - *pref++];
*pdiff++ = abs_table red + green + ;
...
As variáveis são pref , a imagem
de referência; psrc , o quadro atual
e pdiff , a imagem delta. Este código
pode ser modifi cado e executado
mais rapidamente em CPUs ARM
com a extensão NEON [7] . De acor-
Linux Magazine #95 | Outubro de 2012
do com o comando /proc/cpuinfo ,
a CPU neste equipamento QNAP
só tinha disponível as extensões swp
half thumb fastmult edsp .
Pelo fato de os valores de referência
apresentados na tabela 2 variarem
mais com a resolução de imagem
e taxa de quadros, apenas preparar
e produzir todos os quadros estava
consumindo uma quantidade substancial
da CPU.
Considerações fi nais
Os chips ARM top de linha que
equipam alguns hardwares NAS
modernos fornecem uma plataforma
para computação em tempo real
bastante interessante, com consumo
de energia reduzido. A CPU
de 2GHz Kirkwood do NAS testada
aqui poderia realmente apenas
lidar com detecção de movimento
em uma taxa de quadros baixa em
duas câmeras IP com 640x480 ao
mesmo tempo.
Tenha em mente que o dispositivo
pode fazer isso com menos de
15 watts, incluindo o disco rígido.
Quando não há eventos acontecen-
Figura 7 Monitoramento de uma peça de madeira com o ZoneMinder no NAS.
Monitoramento com NAS | SEGURANÇA
do, o equipamento pode cair para
menos de 10 watts enquanto ainda
monitora ativamente as câmeras em
busca de movimentos interessantes.
Monitoramento de câmera é normalmente
uma proposta de três
turnos. A próxima vez que o leitor
considerar realocar um PC com consumo
de 75 watts a 100 watts para este
propósito, poderá considerar a alternativa
NAS, já que a mesma poderia
muito bem pagar-se nos primeiros
12-18 meses se levarmos em conta a
economia de energia.
Com uma instalação Debian, o
NAS tem acesso a uma quantidade
enorme de pacotes de software
que permitem a personalização
do dispositivo para lidar com uma
tarefa específica. ■
Mais informações
[1] Página do QNAP TS-
219P II: http://web.
qnap.com/pro_detail_
feature.asp?p_id=211/
[2] ZoneMinder: http://
www.zoneminder.com/
[3] Debian no QNAP NAS: http://
www.cyrius.com/debian/
kirkwood/qnap/ts-219/
[4] Documentação do instalador
do Debian ARM: http://www.
debian.org/releases/lenny/
arm/install.pdf.pt_BR
[5] Recuperação de fi rmware do
QNAP: http://wiki.qnap.
com/wiki/Firmware_Recovery/
[6] Discussão sobre uso de CPU
pelo ZoneMinder: http://www.
zoneminder.com/wiki/index.
php/FAQ#Why_is_ZoneMinder_
using_so_much_CPU.3F
[7] Arquitetura ARM: http://
en.wikipedia.org/wiki/
ARM_architecture
Gostou do artigo? igo?
Queremos ouvir sua opinião. nião.
Fale conosco em m
cartas@linuxmagazine.com.br ne.com
Este artigo no nosso osso site: s e:
http://lnm.com.br/article/6938
r/artic 693
65