Da qualche giorno ho scoperto Redis e mi sto domando come iniziare ad utilizzarlo. Redis in parole povere è un database che lavora sulla ram, installato su un normale computer con un processore a singolo core riesce ad eseguire più di 100.000 operazioni di lettura/scrittura al secondo. Avete presente memcache, aggiungete il supporto per per le liste e lo storage basato su disco, ecco, questo è più o meno Redis. Redis lo potete usare come database delle code o come server cache o in entrambi i modi.

Forse è meglio farsi spiegare cos’è Redis dal suo sviluppatore “Salvatore Sanfilippo”

Redis è un database un pò bizzarro, rispetto ai canoni a cui siamo abituati, per due motivi principali:

1) Tiene tutti i dati in memoria anche se persiste sul disco. In pratica il disco serve solo nel caso in cui il database viene fermato e riavviato, a leggere nuovamente tutto il data set in memoria. Ma tutti gli accessi in lettura e scrittura vengono gestiti principalmente in RAM. Questo permette ad un singolo server Redis che gira su una macchina Linux normalissima, su un solo core, di raggiungere l’interessante prestazione di 100 mila query al secondo. Cosa più interessante le query in lettura e scrittura prendono lo stesso tempo.

2) Le operazioni che supporta sono molto diverse da quelle di un database SQL. Non c’è il concetto di tabella, e non è un semplice database Key-Value a cui si associa ad una stringa (la chiave) un’altra stringa (il valore). Infatti i valori possono essere di altri tipi, come liste, insiemi, insiemi ordinati, o semplicemente stringhe.

Tratto da un’intervista di Salvatore Sanfilippo su ossblog.it

Bhe vediamo di smanettarci un po’ su…

Prima di tutto bisogna installare il server, su un sistema come ubuntu eseguiamo:

 sudo apt-get install redis-server

Appena installato il server partirà sulla porta 6379. Per accedere tramite PHP al server Redis esistono molteplici librerie tra le quali: Predis e Rediska. Invece su questo link trovate le librerie Redis per tutti gli altri linguaggi.

Senza che faccio copia e incolla, cosa che non mi piace tanto, potete trovare degli esempi su: kevin.vanzonneveld.net, predis, antirez.com.

Qua trovate un articolo interessante sulle prestazioni.

Poi se non vi va d’installare niente potete sempre fare una prova su questo sito.

La documentazione ufficiale la trovate qua.

Se vi piace il progetto e avete 30 minuti liberi potete leggere Redis Zero To Master In 30 Minutes

Saluti a tutti, scusate se stavolta sono stato proprio rapido…

Tempo fa in questo articolo sull’hardening di base dei sistemi linux si è parlato delle tecniche basilari per mettere in sicurezza un sistema linux esposto sulla rete. In questo articolo vedremo come aumentare di un altro gradino la sicurezza utilizzando alcuni tra gli script più famosi, ovvero: apf (Advanced Policy-based Firewall), bfd (Brute Force Detection) e DDoS Deflate. In questo articolo vedremo come installare i citati scripts e la prima configurazione, inoltre, vedremo dove si trovano i file di configurazione per eventuali regolazioni “di fino”. Questo articolo è rivolto a persone che hanno una buona padronanza dei sistemi linux, inoltre, l’uso del solo “copia e incolla” incosciente può causare un blocco del vostro sistema, come sempre consiglio di ragionare prima di compiere azioni avventate.

Installazione e configurazione di APF: Advanced Policy-based Firewall

Questo script consente di pilotare iptables, su questa pagina si trovano informazioni più dettagliate su apf. Per installare APF bisogna guadagnare i permessi di root e scaricare il seguente file:

# wget http://rfxnetworks.com/downloads/apf-current.tar.gz

scompattiamo e installiamo

# tar xfz apf-current.tar.gz
# cd apf-*
# ./install.sh

a questo punto il firewall è installato e bisogna configurarlo, apriamo il file:

/etc/apf/conf.apf

le prime opzioni da configurare sono le seguenti e rispettivamente servono per: attivare il firewall (di default, attraverso un cron job, ogni 5 minuti vengono aggiornate le regole); configurazione degli ingressi TCP e UDP attivi; AntiDos.

DEVEL_MODE="1"
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,3306"
IG_UDP_CPORTS="53,111"
USE_AD="1"

successivamente possiamo far partire APF con il comando:

# apf --start

Se non siamo contenti della configurazione possiamo muoverci tra la configurazione di APF, ogni singola impostazione è strettamente descritta nel file stesso. Se vogliamo modificare la configurazione AntiDos, per renderla più restrittiva dobbiamo editare il seguente file:

/etc/apf/ad/conf.antidos

Installazione e configurazione di BFD: Brute Force Detection

Questo è uno script che analizza i file di log alla ricerca di errori di autenticazione, per maggiori informazioni sul funzionamento si può consultare questa pagina. Per installare BFD, come al solito guadagnamo i privilegi di root e rispettivamente con i seguenti comandi scarichiamo, scompattiamo e installiamo lo script:

# wget http://rfxnetworks.com/downloads/bfd-current.tar.gz
# tar xfz bfd-current.tar.gz
# cd bfd-*
# ./install.sh

il file di configurazione si trova nella seguente posizione:

/usr/local/bfd/conf.bfd

attiviamo lo script e impostiamo una mail modificando le seguenti impostazioni

ALERT="1"
EMAIL_USR="username@yourdomain.com"

come per il precedente script possiamo modificare una miriade di impostazioni che si trovano nel file di configurazione, non è complicato in quanto ogni impostazione è minuziosamente descritta. Buona cosa è editare il file

/usr/local/bfd/ignore.hosts

inserendo il vostro IP, per evitare, in caso di errori, che lo script neghi a voi stessi l’accesso. Non ci resta che far partire lo script:

/usr/local/sbin/bfd -s

Installazione e configurazione di DDoS Deflate

Questo script inizialmente è stato sviluppare per funzionare sui server MediaLayer per arginare gli attacchi (D)Dos, molti sysadmin vista l’efficacia decidono di installarlo sui propri server. Come al solito guadagnamo i privilegi di amministratore e con i seguenti comandi scarichiamo e installiamo DDoS Deflate:

# wget http://www.inetbase.com/scripts/ddos/install.sh
# sh install.sh

e già pronto per funzionare ma se vogliamo modificare qualche impostazione possiamo modificare il file:

/usr/local/ddos/ddos.conf

non ci resta che avviare lo script:

# /usr/local/ddos/ddos.sh -c

Conclusioni

In questo articolo abbiamo visto come aumentare di una tacca la sicurezza del nostro sistema linux, ricordate sempre che la sicurezza in modo assoluto non esiste e buona fortuna.

Saluti

PS Per gli script appena installati ricordate che al riavvio non partiranno, bisogna impostarli per farli partire al reboot.

Ecco un elenco di notizie degli ultimi due mesi che reputo interessanti per il modo informatico e le ripropongo ai lettori del blog. Gli argomenti spaziano da: rilascio del kernel linux 3.0, rilascio di vmware 5, SecureID violato, Ebay acquista Magento, Skype violato, Social Network, una notizia di un mese fa su Anonymous.

• E’ stato rilasciato il kernel linux 3.0 www.kernel.org . La mail originale di Linus Torvald che annuncia il rilascio del kernel 3.0 http://lwn.net/Articles/444314 .
• Rilasciato VmWare ESXi 5 http://suretalent.blogspot.com/2011/05/vmware-esxi-50-release-features-of.html
• Lockheed Martin RSA tra i più grandi produttori di armi al mondo violata, a quanto pare è stato duplicato un token RSA SecurID. http://www.pcmag.com/article2/0,2817,2386086,00.asp evento che rende pericolosa anche le transazioni online.
• Ebay acquista Magento http://www.magentocommerce.com/blog/ebay-agrees-to-acquire-magento
• Le chiamate su skype si possono intercettare http://www.scmagazine.com.au/News/258827,how-to-intercept-skype-calls.aspx grazie al reverse engineering del protocollo http://tech.slashdot.org/story/11/06/02/1914250/Skype-Protocol-Has-Been-Reverse-Engineered durato anni. Una possibile alternativa potrebbe essere http://www.fsf.org/blogs/community/skype-replacement-projects
• Anche gli hackers di Anonymous vogliono lanciare il loro Social Network, logicamente solo notizie in completo anonimato, forse non gli è andata giù l’estromissione da Google+ , oppure per uno spirito di concorrenza con il nuovo Social Network della Microsoft annunciato in modo maldestro http://www.socl.com/. Il social di Anonymous http://anonplus.com/ in questa pagina l’annuncio http://www.examiner.com/anonymous-in-national/anonplus-the-anti-social-networkhttp-anonplus-com
• E per ultimo una notizia vecchia, il 3 giugno 2011 il team di hackers Lulz Security diffonde online la configurazione del server web di nintendo.com dopo averlo violato, la ripropongo, magari a qualcuno interessa vedere come i grossi web server vengono configurati e gli errori che si fanno, prima però una massima di qualcuno che non ricordo il nome:

Chi non conosce gli errori della Storia, è destinato a ripeterli

configurazione server web nintendo.com

Saluti

Premesso che la sicurezza in modo assoluto non esiste, oggi affronteremo un argomento molto vasto e complesso l’hardening di un sistema linux, cioè come rendere più sicuro un sistema esposto sulla rete. In realtà non esiste una guida o “la guida” per mettere in sicurezza un sistema linux ma esistono delle regole per evitare che un sistema sia meno attaccabile. Inoltre, questa non vuole essere una guida esaustiva ma una specie di promemoria sulle operazioni da compiere appena installato un sistema linux.
Questo promemoria sull’hardening di un sistema linux è destinato a persone che hanno un po’ di esperienza su linux, particolari conoscenze o riti arcani non servono, basta conoscere un po’ il sistema che si intende modificare e i concetti base di linux, comunque, se ricopiate paro paro i comandi senza ragionare rischiate di rendere inaccessibile il vostro sistema.

Le partizioni e il filesystem

Come tutti sanno la radice del filesystem può essere su un unica partizione oppure articolata con diversi punti di montaggio. Come da molte guide che si possono trovare in giro per la rete è ormai assodato che le directory /tmp , /var , /usr e /home vanno montate in partizioni separate.

• Il punto di montaggio /tmp è pubblico, cioè tutti gli utenti devono avere la possibilità di scrivere, quindi, un aumento spropositato di questo punto di montaggio potrebbe mettere in crisi tutto il sistema se esso fosse su un’unica partizione. Non conviene montare questa partizione con l’opzione noexec poiché spesso alcuni software usano questa posizione per installare/aggiornare i pacchetti. Poi, se si è abbastanza paranoici come il sottoscritto, si può montare la partizione con l’opzione noexec, quando bisognerà fare manutenzione sul sistema /tmp verrà smontata e rimontata senza l’opzione noexec.
• Il punto di montaggio /var è altrettanto importante per quanto riguarda la sicurezza del sistema, specialmente per la presenza di /var/log, in esso vengonono salvati i log di sistema e in caso di un attacco DOS o un brute force potrebbe aumentare a dismisura. Questa partizione si può montare tranquillamente con l’opzione noexec.
• Il punto di montaggio /usr va montato in sola lettura, da smontare e rimontare in scrittura quando bisogna fare manutenzione al sistema.
• Per il punto di montaggio /home è buona cosa usare una partizione separata, per una serie infinita di motivi, tra i quali vi è la necessità di montare la partizione con l’opzione noexec. Questo si fa per evitare che un utente possa caricare un eseguibile bacato con l’intento di sfruttare lo stesso eseguibile per ottenere i privilegi di amministratore tramite shellcode.

Già queste impostazioni garantiscono una buona sicurezza, poi se si è abbastanza paranoici si può pensare di togliere il bit SUID/SGID da molti eseguibili non strettamente necessari, dipende da sistema a sistema. In caso si utilizza un sistema virtuale in remoto si potrebbe anche utilizzare le quote per settare le dimensioni massime che devono avere le cartelle.
Se siete sysadmin molto paranoici come il sottoscritto, subito dopo l’installazione del sistema ci si può calcolare hash di alcuni file sensibili: grep, ls, ps, netstat ecc; infatti, essi sono i primi che un probabile un attaccante modifica per nascondersi nel sistema. Per questa operazione è meglio usare MD5 e SHA1 al posto di MD2 e MD4 che sono algoritmi già violati (teoricamente anche l’MD5 è violabile ma solo in determinate condizioni che non rientrano nel nostro caso). Logicamente ad ogni aggiornamento bisogna ricalcolare gli hash, ci si può costruire facilmente uno script che faccia questo.

Utenti

Per un servizio che è costantemente esposto sulla rete i nomi utente giocano un ruolo molto importante se non fondamentale. Da molti bruteforce subiti, sicuramente da parte di bot che scansionano la rete alla ricerca di sistemi vulnerabili, i nome utente più attaccati sono: root, admin, administrator, testing, spam, postgres, ftpuser, user, newsletter, fax, ftp, office, training, demo, oracle, master, contact, staff, sales, backup, info, test, marketing, smtp, bob, windows, webmaster, mysql, anonymous, guest, ecc., quindi di conseguenza utilizzare questi nome utente per i servizi non è un’idea molto buona, usare questi username si semplifica del 50% il compito di un eventuale attaccante.
Una buona soluzione è quella di utilizzare per i nome utente regole simili quelle delle passwords o quasi. Per esempio, all’utente Mario Rossi si potrebbe impostare un nome utente tipo “MarioRossi123z” oppure “mrossi56ScF” e così via. La stesso concetto si può estendere anche agli accessi ftp o mail se si fornisce un servizio di hosting o simili.
Vietare l’accesso ssh agli utenti e non permettere l’utilizzo di shell, altrimenti un utente malintenzionato potrebbe compilare o caricare un eseguibile con un bug costruito ad hoc e attraverso esso ottenere i privilegi di root. Impostando la partizione /home con noexec, vietando agli utenti l’utilizzo di shell e dei compilatori possiamo stare relativamente tranquilli.

Volendo essere paranoici ci si può costruire uno script che analizza ogni ora o mezzora i log di sistema e ad un tot numero di login falliti da parte di un ip metta in banlist lo stesso. Ci si può inventare un pò di tutto, basta un pò di fantasia.

Servizi

I servizi senza ombra di dubbio sono la via d’accesso dei nostri potenziali intrusi, dire che bisogna mantenere aggiornato il software è abbastanza scontato, quindi, la prima regola è un update di sicurezza giornaliero.
La scelta migliore che si possa fare è chiudere tutti i servizi che non ci servono e rinforzare quelli che offriamo. Come prima cosa eliminare totalmente telnet e simili, se per caso sono installati, ma ormai neanche nelle installazioni di default ci stanno sti servizi. Successivamente controlliamo quali servizi sono aperti digitando da terminale:

netstat -t -u -l

oppure se preferiamo il numero delle porte

netstat -t -u -l --numeric-ports

dovremmo ottenere un output simile a questo

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address      Foreign Addr  State
tcp        0      0 *:pop3s                *:*       LISTEN
tcp        0      0 *:mysql                *:*       LISTEN
tcp        0      0 *:pop3                 *:*       LISTEN
tcp        0      0 *:imap                 *:*       LISTEN
tcp        0      0 localhost.locald:domain*:*       LISTEN
tcp        0      0 *:smtp                 *:*       LISTEN
tcp        0      0 *:imaps                *:*       LISTEN
tcp        0      0 *:http                 *:*       LISTEN
tcp        0      0 *:domain               *:*       LISTEN
tcp        0      0 *:ftp                  *:*       LISTEN
tcp        0      0 *:https                *:*       LISTEN
tcp        0      0 *:ssh                  *:*       LISTEN
udp        0      0 localhost.locald:domain*:*
udp        0      0 localhost.locald:domain*:*
udp        0      0 *:36593                *:*
udp        0      0 *:domain               *:*

Vediamo dove intervenire

Mettere in sicurezza SSH

Come detto in precedenza solo gli admin o l’admin dovrebbe essere abilitato a questo accesso, gli altri utenti non devono poter accedere a questo servizio. Inoltre, molto importante è disabilitare l’accesso all’utente root, i privilegi di superutente verranno acquisiti dagli admin tramite il comando su.
Apriamo il file /etc/ssh/sshd_config con un editor, per disabilitare l’accesso a root, lasciare l’accesso solo ad alcuni utenti e vietare l’uso di password vuote, modificare come segue le seguenti linee

PermitRootLogin no
AllowUsers pincopallino, secondopinco
PermitEmptyPasswords no

Una buona idea è cambiare la porta predefinita del servizio e forzare l’utilizzo del protocolo 2

Port 65000
Protocol 2

eventualmente per impedire l’utilizzo di sftp commentare la riga

#Subsystem    sftp    /usr/libexec/openssh/sftp-server

eventualmente se si volesse modificare il banner di presentazione del servizio, prima bisogna de-commentare la seguente riga e successivamente impostare una path dove salvare un file di testo con il banner

#Banner /some/path

modificato tutto, bisogna riavviare il servizio sshd stando attenti a non fare alcun errore, se si opera in remoto si rischia di autoescludersi dal sistema.

In caso la paranoia si fa sentire, si può abilitare l’accesso a ssh soltanto in possesso di una chiave crittografica impostando nel file di configurazione

PubkeyAuthentication yes

successivamente bisognerà generare una chiave privata e una pubblica per ogni utente a cui si vuole dare l’accesso, maggiori informazioni su http://sial.org/howto/openssh/publickey-auth o http://www.openssh.com, l’accesso si effettua soltanto con la chiave e non verrà richiesta alcuna password.
Inoltre, possiamo fare in modo che ogni utente loggato lavori in un abiente simile ad un sistema linux ma limitato di alcuni comandi utilizzando un fake chroot, oppure, possiamo prevedere l’apertura della porta ssh con il port knocking (la classica bussata segreta) per queste e altre tecniche rimando sempre al sito ufficiale di openssh, altrimenti questo articolo diventerebbe troppo lungo.

Gli altri servizi

Secondo il mio punto di vista sono da prediligere pop3s, smtps e imaps e da chiudere pop3, smtp e imap a meno che non abbiate degli utenti che li utilizzano, in tal caso bisognerà costruire una specie di piano d’uscita da questi servizi obsoleti.

Limitare un SYN Flood

Questo era un attacco DOS molto comune alla fine del secolo scorso, le recenti impostazioni di rete tendono a limitare o annullare del tutto questo tipo di attacco. L’attacco tende a saturare le risorse di sistema, una descrizione dell’attacco la si può trovare su http://www.cert.org/advisories/CA-1996-21.html . Per limare ulteriolmente le impostazioni di sicurezza rispetto a quelle della vostra rete si possono utlizzare i SYN cookies, essi limitano il numero di richieste da parte di un singolo utente. Aprire il file /etc/sysctl.conf (è un file di configurazione del kernel) ed editare le seguenti linee

#Prevent SYN attack
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = xxx
net.ipv4.tcp_synack_retries = 2

e le successive linee per la protezione contro l’IP Spoofing

# Enable IP spoofing protection, turn on source route verification
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.lo.rp_filter = 1
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

poi se si desidera configurare la distribuzione come un firewall possiamo utilizzare la configurazione proposta da http://openskill.info/infobox.php?ID=1166

net.ipv4.ip_forward = 1
net.ipv4.ip_dynaddr = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.tcp_sack = 0
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_window_scaling = 0
net.ipv4.tcp_syn_retries = 3
net.ipv4.tcp_synack_retries = 3
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.log_martians = 1
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.log_martians = 1
kernel.printk = 1 4 1 7
##
net.ipv4.tcp_max_syn_backlog=1280
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.all.forwarding=0
net.ipv4.conf.all.mc_forwarding=0
net.ipv4.vs.timeout_timewait=60

Conclusioni

Secondo il mio punto di vista questo è il minimo sindacale per mettere in sicurezza il nostro sistema esposto ai rischi della rete. Certo l’hardening non finisce qua, anzi, questa è solo la punta dell’iceberg, è compito di ogni sistemista documentarsi e apprendere giorno per giorno nuove tecniche, anche tentando di violare i propri sistemi per saggiarne la sicurezza.

In rete si trovano numerosi script che ci aiutano in questo compito, magari in un prossimo futuro farò un articolo in merito.

Saluti

Continuano i miei “giochi” su CentOS, oggi vedremo come installare CentOS recuperando i file di installazione dalla rete utilizzando l’immagine netinstall. Inoltre, vedremo anche come configurare un’installazione minima, senza interfaccia grafica, utile per un server web, mail, e tutto quello che potrebbe offrirci un server. Non servono particolari conoscenze per installare CentOS, un minimo di conoscenze dei sistemi linux possono bastare.

Come prima cosa bisogna recuperare l’immagine di avvio, esistono diversi mirrors da cui scaricare l’immagine che ci interessa, io utilizzo spesso http://mirrors.kernel.org ma nessuno vieta di utilizzare altri server mirror compresi gli ftp pubblici. Ci spostiamo tra le cartelle e raggiungiamo http://mirrors.kernel.org/centos/5/isos/ , qui dobbiamo scegliere l’architettura che ci interessa, nel mio caso i386 e scaricare l’immagine iso con il suffisso -netinstall che nel mio caso è http://mirrors.kernel.org/centos/5/isos/i386/CentOS-5.6-i386-netinstall.iso. Masterizzare l’iso su un cd, reboot e avvio dell’immagine, oppure, configurare una macchina virtuale.

Alla schermata di boot premete invio per far iniziare l’installazione, come al solito rispondete ad un po’ di domande tipo la scelta della lingua (consiglio evitare di scegliere il cinese, è un po’ complicato ) e il layout della tastiera fino ad arrivare alla schermata “Metodo d’installazione”.

A questo punto bisogna indicare dove si trovano i file di installazione, nel nostro caso si trovano su http://mirrors.kernel.org/centos/5/os/i386/ , quindi dobbiamo selezionare come “Media” il protocollo HTTP e cliccare OK.

Ci verrà chiesto di configurare la scheda di rete del nostro server, sia con ipv4 che con ipv6. Possiamo fare due scelte: lasciamo tutto automatico e a post-installazione impostiamo un indirizzo statico (tramite interfaccia grafica); oppure, impostiamo manualmente la scheda, io ho optato per la seconda opzione.

Siamo arrivati al punto cruciale di questa guida, appena impostata la scheda di rete ci verrà chiesto da dove reperire i file di installazione. Ci verrà chiesto di inserire il “nome del sito web”, è il dominio dove sono ospitati i files, inserire il nome senza il protocollo (l’avevamo già scelto in precedenza), nel nostro caso:

mirrors.kernel.org

e come “Directory CentOS” inseriamo

centos/5/os/i386/

rispettiamo rigorosamente gli slash, tenera presente che “http://” viene aggiunto in automatico prima del dominio, stessa cosa per lo slash “/” dopo il dominio. Al posto del nome di dominio si può mettere anche un indirizzo ip. Se precedentemente avete scelto un altro media verranno richiesti i parametri per quel tipo di connessione.

Inizierà il recupero dei file di installazione dalla rete, al termine verrà visualizzata l’interfaccia grafica per l’installazione di CentOS. Verranno richieste le solite impostazioni: partizioni disco, impostazione schede di rete, fuso orario e password di root. La schermata successiva all’impostazione della password di root è la scelta del tipo di configurazione, nel nostro caso scegliamo “server” e omettiamo di installare l’interfaccia grafica (orpello inutile e spreca-risorse per un server web), in questo passo possiamo scegliere di installare anche servizi aggiuntivi e aggiungere servizi all’installazione minimale, es: mysql, dns, posta, ecc. Cliccando avanti parte l’installazione, riavviare il sistema senza cd.

Al primo avvio partirà il tool di configurazione dei servizi (demoni, firewall, Selinux, ecc.), in caso il tool non parte o viene annullato si può farlo ripartire lanciando “setup” dopo il login.

Se si è scelto di installare il tutto su una macchina virtuale e la scheda di rete è impostata in bridge, in caso di mancata risoluzione dei dns modificare il file:

/etc/sysconfig/network-scripts/ifcfg-eth0

aggiungendo le seguenti stringhe alla fine (DNS1 è un esempio, DNS2 è OpenDNS)

DNS1=192.168.1.254
DNS2=208.67.222.222

Di seguito le immagini in sequenza per i più pigri che si scocciano a leggere tutto quello che ho scritto.

Saluti Arturu.it

Recentemente ho avuto la necessità di attivare le WildCard su un server che gestisco. Visto che non esistono guide in italiano ne pubblico una io per chi si dovesse trovare nella mia stessa situazione. Il procedimento non è complesso e non richiede una conoscenza approfondita, ma ciò non toglie che quando si vanno a fare questo tipo di operazioni una conoscenza e una coscienza di quello che si sta facendo è obligatoria. Come prima cosa bisogna inserire un nuovo record DNS per il dominio che ci interessa:

* A INDIRIZZO_IP_DEL_SERVER

dove INDIRIZZO_IP_DEL_SERVER è l’indirizzo ip del server dove risiede il dominio su cui attivare le WildCard es:

* A 8.8.8.8

Ora dobbiamo modificare il file httd.conf di apache relativo ai virtualhost. ATTENZIONE: questo file non si trova in /etc/httpd ma è “linkato” da DirectAdmin in altra posizione. Questo file di configurazione lo possiamo modificare manualmente o dall’interfaccia di DirectAdmin, ognuno scelga il modo che preferisce.

Modifica manuale

Questo è il metodo che preferisco perché mi piace tenere sotto controllo tutto, e specialmente, non mi fido tanto delle interfaccie grafiche.

1. Recarsi nella cartella /usr/local/directadmin/data/users ed entrare nella cartella dell’utente che ci interessa
2. Aprire il file httpd.conf
3. modificare la linea ServerAlias, relativa al dominio che ci interessa nel seguente modo

4. ServerAlias *.il_tuo_dominio.tld

5. Salvare e uscire.
   

Modifica con interfaccia Grafica

1. Recarsi al Livello Amministratore
2. Cliccare su Configurazione HTTPD Personalizzata
3. Selezionare il dominio che ci interessa e aggiungere la seguente linea

4. ServerAlias *.|DOMAIN|

Applicazione delle modifiche

Dopo questa operazione bisogna riavviare httpd e named. I domini di terzo livello attivati automaticamente con le WildCard saranno visibili dopo che il nuovo record DNS si sarà diffuso per la Rete. Tenere presente che se usate OpenDNS per la vostra connessione ci vogliono un paio d’ore prima che i domini di terzo livelli costruiti in automatico siano visibili, se usate la gestione dei DNS del vostro server la visibilità è immediata, invece, usando quelle dell’adsl (alice, tiscali, ecc.) ci vogliono fino a 72 ore dall’inserimento del record DNS.

Un consiglio per chi usa sftp per modificare i file, nautilus e gedit hanno il vizio di cambiare user quando salvano i file, o meglio impostano l’user di chi ha effettuato l’accesso, ma questo è un altro discorso; tenete presente che se qualche servizio si blocca dopo aver modificato un file con sftp, un chown può risolvere i problemi. In questo caso il proprietario del file appena modificato è 100 e come gruppo quello dell’utente a cui appartiene il dominio.

Saluti

Il fenomeno dell’open source continua a diffondersi nelle Pubbliche Amministrazioni (PA). Dopo anni e anni di imposizione di formati e di software proprietari incomincia a diffondersi una filosofia di condivisione e di assolutà libertà. Una delle prime amministrazioni locali a fare il passo è stata la provincia autonoma di Bolzano che ha incominciato ad utilizzare i fondi europei (vedi dettagli) per far migrare le proprie scuole dal costosissimo e incostituzionale software proprietario all’Open Source, successivamente ha incominciato ad estendere l’utilizzo all’intera amministrazione pubblica, abbattendo i costi delle licenze software del 100% (cioè l’acquisto e l’aggiornamento dei programmi), rimangono solo i costi relativi alla manutenzione. Dopo questo successo economico…

Dopo questo successo economico e costituzionale questa politica ha incominciato a diffondersi in tutte le pubbliche amministrazioni italiane come ad esempio quella della provincia di Bari che ha dato il via al progetto:

“Disegno di Legge Regionale recante norme in materia di trasformazione ed adeguamento tecnologico della Pubblica Amministrazione Regionale secondo criteri di difesa della libertà, della democrazia e della sicurezza informatica nell’era della comunicazione digitale”.

“Per la prima volta in Italia – si legge in una nota diffusa dal PRC – viene proposto un disegno di legge regionale che si propone di regolamentare e trasformare la Pubblica Amministrazione attraverso l’adozione di un altro modello di impiego e di realizzazione del software utilizzato nella Pubblica Amministrazione passando da quello proprietario, costosissimo, a codice chiuso, immodificabile e con licenza d’uso a pagamento, a quello Open Source, modificabile e quasi sempre gratuito ed adattabile ad ogni esigenza dell’utilizzatore”.

Secondo i promotori, “le ricadute positive che deriverebbero dall’approvazione di questo DDL in termini di contenimento dei costi a bilancio, di sviluppo e crescita dell’economia e dell’occupazione sono già evidenti in numerose esperienze già realizzatesi altrove nel mondo, in Italia ed in Europa. Lo stesso DDL affronta, per la prima volta attraverso un atto legislativo, anche il grave problema dell’Hardware condizionato all’uso di software ad alto costo economico e sociale”.

Su questa scia di innovazione e miglioramento (oltre ad altre PA come Puglia, Toscana ed Umbria, e presso enti locali come la provincia di Pescara o i comuni di Torino e Firenze) ieri la Regione Lombardia annuncia che migrerà al software Open Source reinderizzando i fondi risparmiati per far lavorare i giovani programmatori della regione, in questo modo si evita di mandare i propri fondi all’estero e lasciare senza lavoro altrettanti validi giovani programmatori italiani. L’intervista fatta all’autore di questo progetto si può leggere cliccando qui, invece il testo della proposta di legge si può trovare cliccando qui.

Sulla scia del fenomeno Open Source il governo recentemente ha aperto un portale dedicato all’Open che si può trovare cliccando qui. Questo nuovo portale serve principalmente per favorire la collaborazione, la cooperazione, la condivisione delle informazioni e del supporto all’Open alle diverse PA, evitando quello che è successo fino ad ora a causa dell’utilizzo del software proprietario, cioè mi riferisco a tutte quelle problematiche comuni a tutte le PA che si ripresentano spesso e che devo essere risolte in modo autonomo a causa delle restizioni di questi software, invece con l’utilizzo dei Software Open Source la soluzione di un problema viene messa a disposizione di tutti facendo risparmiare tempo e denaro in quanto la condivisione dei dati e delle conoscenze è alla base di tutto il sistema.

Un Saluto, Arturu.

PS Riflettete… E’ meglio collaborare ed essere un’unico continente che essere migliaia di isole sparse per l’oceano…

Da qualche giorno Dell (il secondo distributore al mondo di computer), difronte alle migliaia di richieste dei suoi utenti ha dovuto fare delle scelte che di certo non faranno piacere a Bill Gates. Come prima cosa ha reintrodotto Windows XP al posto di Vista (che riesce a vendere solo nella categoria Consumer) e poi con l’annuncio che venderà i propri computer con Linux Ubuntu già preinstallato…

Facciamo il punto della situazione:

2) Microsoft risponde che gli utenti che hanno richiesto questo sono “una minoranza” e che hanno “esigenze particolari” (poter usare un computer, ndr);
3) Microsoft per evitare che si continui ad installare Windows XP e costringere tutti i distributori di pc a passare a Vista annuncia che da gennaio prossimo non venderà più licenze di Windows XP;
4) Dell, sotto queste imposizioni e su una grandissima richiesta dei suoi clienti decide di installare Ubuntu 7.04 al posto di Windows Vista.

Dopo questa bella notizia posso andare a dormire…