giovedì, novembre 29, 2007

Aggiornamento selinux-policy-targeted su virtual machine vmware

- post<li> - Permalink

SELinux

Sei li tranquillo che navighi (cazzeggi) aspettanto la pausa pranzo a cui mancano solo 10 minuti, quando improvvisamente una delle tue virtual machine comincia a dare di matto e cioè esaurire la CPU e saturare la RAM dell'host.

Ahhrgh panico! I siti si caricano però le pagine dinamiche hanno qualche problema...

Ummmm, vuoi vedere che è colpa di SELinux? Avete presente il parafulmini?

Infatti con un bel:

>tail -f /var/log/messages

Nov 27 13:55:51 web01 kernel: audit(1196168151.942:21): avc: denied { name_connect } for pid=2279 comm="httpd" dest=43 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket
Nov 27 16:37:14 web01 kernel: audit(1196177834.774:22): avc: denied { name_connect } for pid=2279 comm="httpd" dest=43 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket
Nov 28 06:11:15 web01 kernel: audit(1196226675.834:23): avc: denied { name_connect } for pid=2280 comm="httpd" dest=43 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket
Nov 28 12:37:12 web01 kernel: audit(1196249832.393:24): avc: denied { append } for pid=9315 comm="sendmail" name="access_log" dev=dm-0 ino=6286320 scontext=system_u:system_r:system_mail_t:s0 tcontext=root:object_r:httpd_sys_content_t:s0 tclass=file
Nov 28 12:37:12 web01 kernel: audit(1196249832.394:25): avc: denied { read } for pid=9315 comm="sendmail" name="[10513]" dev=eventpollfs ino=10513 scontext=system_u:system_r:system_mail_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=file
Nov 29 05:40:07 web01 kernel: audit(1196311207.673:26): avc: denied { name_connect } for pid=2278 comm="httpd" dest=43 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket


eccolo la, infatti con
>setenforce 0
tutto torna a rifunzionare...

allora proviamo a controllare le impostazioni SELinux di httpd (apache)

>getseboolean -a|grep httpd

allow_httpd_anon_write --> off
allow_httpd_apcupsd_cgi_script_anon_write --> off
allow_httpd_bugzilla_script_anon_write --> off
allow_httpd_mod_auth_pam --> off
allow_httpd_nagios_script_anon_write --> off
allow_httpd_squid_script_anon_write --> off
allow_httpd_sys_script_anon_write --> off
httpd_builtin_scripting --> on
httpd_can_network_connect --> off
httpd_can_network_connect_db --> off

httpd_can_network_relay --> off
httpd_disable_trans --> off
httpd_enable_cgi --> on
httpd_enable_ftp_server --> off
httpd_enable_homedirs --> on
httpd_rotatelogs_disable_trans --> off
httpd_ssi_exec --> off
httpd_suexec_disable_trans --> off
httpd_tty_comm --> off
httpd_unified --> on


eccola, l'avete vista la magagna?
Allora rimediamo con:
>setsebool httpd_can_network_connect_db on
e
>setsebool httpd_can_network_connect on

riprovo a riabilitare SELinux con
>setenforce 1

e magicamente tutto funziona!

infatti controllando nei log
>tail -f /var/log/messages

Nov 29 19:10:45 web01 kernel: audit(1196359845.077:27): bool=httpd_can_network_connect_db val=1 old_val=0 auid=4294967295
Nov 29 19:10:45 web01 kernel: audit(1196359845.849:28): user pid=1882 uid=81 auid=4294967295 subj=system_u:system_r:system_dbusd_t:s0 msg='avc: received policyload notice (seqno=2)
Nov 29 19:10:45 web01 kernel: : exe="?" (sauid=81, hostname=?, addr=?, terminal=?)'
Nov 29 19:10:53 web01 setsebool: The httpd_can_network_connect_db policy boolean was changed to on by root
Nov 29 19:11:32 web01 kernel: audit(1196359892.377:29): bool=httpd_can_network_connect val=1 old_val=0 auid=4294967295
Nov 29 19:11:32 web01 kernel: audit(1196359892.399:30): user pid=1882 uid=81 auid=4294967295 subj=system_u:system_r:system_dbusd_t:s0 msg='avc: received policyload notice (seqno=3)
Nov 29 19:11:32 web01 kernel: : exe="?" (sauid=81, hostname=?, addr=?, terminal=?)'
Nov 29 19:11:34 web01 setsebool: The httpd_can_network_connect policy boolean was changed to on by root
Nov 29 19:11:51 web01 kernel: audit(1196359911.409:31): enforcing=1 old_enforcing=0 auid=4294967295
Nov 29 19:11:51 web01 kernel: audit(1196359911.412:32): user pid=1882 uid=81 auid=4294967295 subj=system_u:system_r:system_dbusd_t:s0 msg='avc: received setenforce notice (enforcing=1)
Nov 29 19:11:51 web01 kernel: : exe="?" (sauid=81, hostname=?, addr=?, terminal=?)'

Ma come può essere successo?

Pensa che ti ripensa, vuoi vedere che si è trattato di un aggiornamento auto-magico?

E infatti dal
> cat /var/log/yum.log|grep selinux

Oct 12 13:17:02 Updated: libselinux.i386 1.33.4-2.fc6
Oct 12 13:22:47 Updated: libselinux-python.i386 1.33.4-2.fc6
Oct 12 13:35:10 Updated: selinux-policy.noarch 2.4.6-94.fc6
Oct 12 13:35:32 Updated: selinux-policy-devel.noarch 2.4.6-94.fc6
Oct 12 13:42:30 Updated: selinux-policy-targeted.noarch 2.4.6-94.fc6


ecco trovata la patata, molto meglio usare la prossima volta "Yum VersionLock e VMWare server e tools"

Beh adesso lo sapete anche voi, magari la prossima volta che vi succede qualcosa di inspiegabile avete un'idea in più su quello che può capitare... :D

Byez

Come ho detto tante volte, la storia umana, tra salvezza e perdizione, è ambigua. Non sappiamo neppure se siamo noi i padroni del nostro destino.

lunedì, novembre 26, 2007

Rimozione completa IE7 e Opera@USB: due belle scoperte per ben iniziare la settimana

- post<li> - Permalink


Stamattina ho acceso il PC e dopo una decina di minuti sono riuscito a completare la fase di startup della mia workstation Windows XP (ebbene si, ne ho ancora una +oops+) e tra le iconcine nella systray c'era lo scudetto verde che mi avvertiva che nel fine settimana si era installato un aggiornamento di sistema...

Qualche piccolo errore di startup che prima o poi fisserò poi finalmente riesco a lanciare il mio bel Firefox e cominciare a lavorare. Ad un certo punto, per testare il risultato di un css, lancio anche IE7 per "vedere l'effetto che fa"... problema non trovo più IE7!

Rimosso completamente e in una maniera in cui solo la Microsoft può riuscirci! Niente, nada, da nessuna parte: su disco, dentro a pannello di controllo, barra di avvio veloce, registro, niente!

Beh poco male, pazienza penso (yeppaiaie +cincin+), mi rimane solo la necessità di procurarmi un altro browser per poter testare con qualcosa di diverso da Firefox i miei lavori... penso subito al terzo competitor: Opera!

Per predisposizione personale (chi mi segue ormai dovrebbe saperlo) ovviamente però ho cercato la versione portable da mettere sulla mia chiave USB e l'ho trovata su Opera@USB 9.24 .

I vantaggi di avere un browser portatile ormai sono noti, ma a questi ho aggiunto la piacevole ri-scoperta di Opera@USB:

  1. Tutti i vantaggi di Opera:
    • Agile;
    • Free;
    • Multitab (ormai irrinunciabile);
    • Stabile;
    • Auto preview del tab;
    • Menù contestuali molto potenti. A solo titolo di esempio cito: "Paste & Go" disponibile nella barra dell'indirizzo e "Reload Every N minutes" nell'area di rendering della pagina;
    • Molto e molto altro ancora...
  2. I vantaggi di Opera@USB:
    • Buon lavoro di porting;
    • Nessuna traccia lasciata sul PC ospitante;
    • Neanche 9MB di spazio occupato, plugin compresi;
Che volete di più per cominciare la settimana?

Byez

P.S. Giusto per curiosità qualcuno ha qualche idea di cosa sia capitato al mio IE7?

" Ci mal capise, peso risponde."
"Chi mal capisce, peggio risponde."

martedì, novembre 20, 2007

Aggiornare il firmware di Freenas

- post<li> - Permalink

Dopo il rilascio di ben due versioni di Freenas nell'ultimo mese continuiamo la nostra rassegna di articoli su questa distro basata su freebsd con un'operazione veramente semplice relativa proprio all'aggiornamento del Firmware ovvero all'aggiornamento dell'intero sistema operativo!



Questa operazione come vedremo sarà semplicissima e molto veloce e potrà farci usufruire delle novità introdotte con le ultime versioni come per esempio la reportistica tramite e-mail, l'uso dell'SNMP oppure dell'autenticazione tramite LDAP.

Partirò dall'upgrade dalla versione 0.685 utilizzata all'inizio di questa serie di articoli per portarla alla versione 0.686b2 appena rilasciata.

Bene i passi da compiere sono:

  1. Eseguire il backup della configurazione attraverso il menù "System -> /Backup / Restore" premendo il pulsante "Download Configuration". Verrà scaricato un file xml contenente tutte le impostazioni che abbiamo effettuato finora. Questo passo non è necessario, per i successivi, però come ogni buon sistemista sa NON è opzionale +lol+

  2. Ora effettuiamo l'aggiornamento vero e proprio attraverso la sezione "System / Firmware". Qui dobbiamo compiere due passaggi:
    1. Abilitare "Enable Firmware upload"
    2. Scegliere il file .img appena scaricato dal sito ufficiale, nel nostro esempio il file FreeNAS-i386-embedded-0.686b2.img. Premere quindi il pulsante "Upgrade Firmware"
  3. Attenzione! Attendere il completamento del passaggio precedente per non compromettere l'operazione. Appena terminato il caricamento del file Freenas si riavvierà.
  4. Verificare la nuova versione attraverso il menù "Status / System". Nello snapshot seguente ho messo un'immagine tratta da un Freenas reale e non quello virtuale usato finora negli esempi per mostrare come nelle nuove versioni vengano -meglio- riconosciuti anche gli economici dischi esterni USB.
  5. Finito! Ora potete godervi le nuove feature!
  6. Attenzione, se fate l'upgrade da versioni precedenti alla 0.685 verificare i passi da seguire su http://www.freenas.org/downloads/patch/ .
Byez


Don Camillo: Ma cos'ha? [Vedendo Peppone soccorso da i compagni]
Brusco: Ha vinto la gara della vodka.
Don Camillo: Oh, m'ero scordato.
[...]
Don Camillo: Peppone, guardami, rispondimi sono io don...Donizetti.
Peppone: C'at vegn un cancher
Don Camillo: Ah, m'ha riconosciuto, buon segno.

Rilasciata la versione 0.686b2 di Freenas

- post<li> - Permalink

Neanche il tempo di annunciare "Rilasciata la versione 0.686b1 di Freenas" che devo annunciare che è arrivata anche la versione FreeNAS 0.686b2. Questo rapido avvicendamento di nuove versioni può rappresentare che nuova linfa e nuove energie sono arrivate al progetto.

Le novità di questa versione non sono moltissime, rappresentando più che altro un bug fix version. Rilevo soltanto tra i major change la completa riscrittura della sezione "disk / RAID initialization / management / encryption". Per chi volesse il dettaglio delle variazioni lo si trova nell'apposito changelog.

Byez

"Svegliati Neo. Matrix ha te. Segui il coniglio bianco."

lunedì, novembre 12, 2007

Meme: Ti presento...

- post<li> - Permalink

Ti presento MerlinoX (http://blog.merlinox.com/)
Compagni di Università, al mio rientro dal servizio militare, allora non avevamo molti interessi in comune, poi siamo invecchiati entrambi, io ho avuto una bimba e lui si è sposato. E ora passo più tempo con lui in linea che non con mia moglie! :-P
Continuo ad apprezzarlo perchè mi ha insegnato molto di quello che so in fatto di blog, quindi diciamo che se sono qui a scrivere è principalmente per colpa sua! Ha molte idee, secondo me, geniali -tipo questa-, speriamo continui così e non invecchi troppo! +lol+ (by dgrossato.101)

Ti presento dgrossato.101 (http://dgrossato.blogspot.com/)
Come conoscere una persona senza averla mai incontrata ma vederla da lettore assiduo del suo blog. Soluzioni particolareggiate aì problemi grandi e piccoli dell’informatica in generale e commenti sempre interessanti. Di se stesso dice:”In questo spazio volevo trasformarmi da lettore a scrittore e condividere le mie idee e conoscenze e confrontarmi con i lettori. Perchè nel confronto costruttivo si cresce e di crescere non voglio smettere mai!” (By Abelardo)


Ti presento Abelardo
(www.latettoia.net)
Compagno di birre, merende e cene, la dimostrazione vivente che l’informatica puo’ essere amatoriale nel senso che si ama farla, anche se non e’ il lavoro che ci da’ la pagnotta, anzi, forse a volte proprio per questo la si vive meglio. Dopo aver abbassato un po’ la guardia verso il satellite si e’ dedicato a tempo pieno al pc con ottimi risultati. (from spippolazione)

Ti presento LoSpippolo (www.spippolazione.net)
Toscanaccio, simpatico e sagace che non manca mai di aiutare ove possibile.
Conoscenza di vecchia data (circa) ai tempi del kuht ormai morto e spolto. Abile sistemista caparbio nel suo fare, ma non manca mai di sdrammatizzare.
Se gli mandate una mail, vi risponderà ed in calce tanta ilarità (miii che forte c’ho fatto la rima).
Conosce ubuntu molto bene ma molto meglio conosce il mangiare ed il bere. Tutti i miei rispetti a costui. (By k76)

Ti presento K76 (www.etechs.it)
E’ una delle persone più genuine e generose io abbia trovato sulla mia strada.
Una persona sempre disponibile e sincera: un amico perso e fortunatamente ritrovato, nella realtà e nel web.
Un importante collaboratore e un tecnico “da storia”. (by Merlinox)

—————————————————————————————————————————

Come fare per partecipare

Se stai leggendo anche tu questo MEME e ti piacerebbe fare uno shout per presentare una persona a te cara, copia tutto il pezzo sopra la linea continua e incollalo nel tuo post.
La presentazione della tua persona mettila in cima alla lista e non dimenticarti di aggiungere la tua firma (by xxx).
Attenzione! Nessuno vi vieta di citare in causa una persona già presente nella lista, l’importante è che lasciate comunque tutte le presentazioni del blog dove avete letto il meme.

lunedì, novembre 05, 2007

Rilasciata la versione 0.686b1 di Freenas

- post<li> - Permalink


Il primo di novembre è stata rilasciata la versione 0.686b1 di Freenas. In questa versione sono state introdotte molte novità e aggiornamenti tra cui segnalo:

  1. Aggiunta la sezione System/Packages per poter controllare i pacchetti installati;
  2. Aggiunta la possibilità di autenticare gli utenti tramite LDAP, nelle precedenti versioni era disponibile solo la sezione in interfaccia web;
  3. E' possibile inviare una e-mail con lo status del server Freenas;
  4. Ampliata la sezione iSCSI;
  5. Ri-organizzata le sezione utenti / gruppi;
  6. Possibilità di pianificare il reboot;
  7. Aggiunta sezione per gestire i cron job da interfaccia web;
  8. Supporto a SNMP;
  9. Aggiunto supporto al Proxy
Sono stati aggiornati molti software, come ad esempio Samba, e sono stati corretti molti bug. Per il changelog di dettaglio qui.

Personalmente considero tra le più importanti caratteristiche inserite il supporto a LDAP, a SNMP e una prima gestione di comunicazioni tramite e-mail tra quelle di cui si sentiva più la mancanza. Secondo voi, invece quali sono le caratteristiche che mancano in Freenas?

Di seguito alcuni screenshot della nuova release:

  • La sezione SNMP


  • La sezione LDAP



  • La sezione E-Mail Report



  • La sezione Gestione dei Cron Job



"Un uomo solo a trent'anni è un single, un figo, uno con la sindrome di Peter Pan.. una donna a trent'anni sola è additata come Hannibal Lecter all'ora dell'aperitivo!"