martedì, ottobre 16, 2012

php_admin_value disable_functions = NON funziona

- post<li> - Permalink

phpinfo() disabled?
Cercando di mettere in sicurezza (non è mai troppa) i siti web in hosting sui miei server mi sono accorto di questa particolarità.

E' possibile  da file di configurazione di Apache andare a modificare i valori di PHP in modo da personalizzarli per ogni singolo VHost, il caso tipico è per esempio

#Securing
php_admin_flag allow_url_fopen Off
php_admin_value open_basedir "/var/www/webs/webXXX.com:/tmp" 


Allo stesso modo volevo, come riportato in più di un how-to disabilitare una serie di funzioni pericolose con il comando

php_admin_value disable_functions “show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open”

Peccato che non funzioni! Apache lo digerisce, phpinfo() te la mostra come valore locale diverso dal generale, ma ti mostra che tra le funzioni disabilitate c'è proprio se stessa (vedi immagine articolo)!

L'unico modo per disabilitare delle funzioni è a livello globale dentro al php.ini come confermato da una(!) riga dentro alla documentazione ufficiale:

"This directive must be set in php.ini For example, you cannot set this in httpd.conf."

Facile no?

Che altre sicurezze configurate sempre nei vostri server web?

Byez

Se l'America fosse stata scoperta tante volte quante l'ho scoperta io, nessuno si ricorderebbe di Cristoforo Colombo. 

martedì, settembre 18, 2012

Presentazione Abitat SIT 20/09/2012

- post<li> - Permalink

Normalmente non uso il blog per comunicazioni di servizio, ma a questo evento ci tengo particolarmente.

Per presentrare la nuova (grande) squadra che mi ha preso a bordo!

Se passate per un saluto (o anche un po' di più :-) fatemi sapere!

Byez

Ogni maledetta domenica si vince o si perde, resta da vedere se si vince o si perde da uomini. 


giovedì, agosto 30, 2012

Niente di nuovo? Browser Benchmark

- post<li> - Permalink

Stamattina, al volo, partendo da questo articolo Octane: the JavaScript benchmark suite for the modern web ho voluto provare a testare i tre browser attualmente installati nel mio PC.

Speravo di avere qualche sorpresa e invece ... beh giudicate voi!

Internet Explorer 9
Firefox 15
Chrome 21


Il benchmark ovviamente è di Google, ma così tanta differenza mi ha sorpreso!

E nel vostro PC tutto rego raga? :D

Byez

Personalmente, non ho mai capito perché individui che manifestano poteri mutanti vengano guardati con sospetto quando ogni altra forma di eccedenza è lodata dalla società. I compositori di canzoni vengono perseguitati per la forza delle loro strofe? Danno la caccia ai centravanti per la precisione dei loro lanci? 

venerdì, luglio 20, 2012

Vedere gli headers di un messaggio in Outlook 2010

- post<li> - Permalink

Nella nuova azienda il mailserver interno è Exchange e dopo un periodo di prova con Thuderbird + davmail mi sono dovuto convertire all'uso di Outlook 2010.

Pensavo peggio, ma non smette mai di stupirmi per quanto riguarda le configurazioni da fare per ottenere alcune funzioni che per me sono importanti.

Ad esempio per l'attività di troubleshooting dei mailserver devo poter visualizzare gli header completi dei messaggi per poter verificare le varie impostazioni / informazioni.

Beh già solo per trovarlo nel menù e cioè
  1. Aprire il messaggio
  2. tab "File"
  3. "Proprietà"
  4. "Intestazioni Internet"
non è stato facile, poi scoprire che tale informazione manca perchè bisogna aggiungere una chiave di registro, beh non ha prezzo! :D

La chiave l'ho trovata in questo articolo. Riporto qui per semplicità le fasi:

  1. Press Windows-R
  2. Type "regedit".
  3. Hit Enter.
  4. Go to HKEY_CURRENT_USER\­­Software\­­Microsoft\­­Office\­­12.0\­­Outlook\­­Options\­­Mail.
    For Outlook 2003, go to HKEY_CURRENT_USER\­­Software\­­Microsoft\­­Office\­­11.0\­­Outlook\­­Options\­­Mail.
  5. Select Edit | New | DWord from the menu.
  6. Type "SaveAllMIMENotJustHeaders".
  7. Hit Enter.
  8. Double-click the newly created SaveAllMIMENotJustHeaders value.
  9. Type "1".
  10. Click OK
  11. Close the registry editor.
  12. Restart Outlook if it has been running.
Intuitivo no?

Byez

Io, come Dio, non gioco ai dadi, e non credo nelle coincidenze. 
(V) [Citando Albert Einstein]

martedì, giugno 05, 2012

ClearOS Port Forwarding Access Control

- post<li> - Permalink

Dopo anni di onorato servizio usando IPCop come firewall di default, come ho già detto altre volte ultimamente sto usando ClearOS. Nel cambio ho avuto molti vantaggi e quello che vado a raccontare è stato il primo problema.

Problema: Devo abilitare il port forwarding della porta 80 di un Virtual IP su un IP della DMZ interna a tutto il mondo e il resto delle porte di servizio (RDP, ftp, ecc...) ad un singolo IP.

Ora in IPCop il setup era banale. Dal menù firewall -> port forwarding si decide da che IP:PORTA pubblica a che IPLOCALE:PORTA si deve effettuare la mappatura ed eventualmente da quali IP sorgenti questa operazione è lecita. Fine!

Possibili NON soluzioni in ClearOS:
  • 1-to-1 NAT: Non si può fare perchè non fa nessun controllo sul sorgente
  • 1-to-1 PORT NAT: Non si può fare per lo stesso motivo precedente e inoltre non si può rifinire con altre regole magari usando Advanced Firewall!
Soluzione in ClearOS:
  1. Abilitare una porta usando 1-to-1 PORT NAT, tipicamente la porta 80 a tutto il mondo, in questo modo ClearOS setta anche una serie di regole di contorno che serviranno anche alle nostre.
  2. Installare il modulo Custom - Firewall
  3. Collegarsi via SSH al firewall
  4. Aggiungere queste righe al file >vi /etc/rc.d/rc.firewall.custom
    iptables -A FORWARD -i eth1 -p tcp --dport 1:65535 -j ACCEPT -d %DMZ_IP% -s %SOURCE_IP% # Comment
    iptables -t nat -A PREROUTING -p tcp -d %VIP% --dport 1:65535 -j DNAT --to-destination %DMZ_IP%:1-65535   #  Comment
    
  5. Riavviare il firewall e testare il tutto. >service firewall restart
In queste due righe ci sono tutti gli attori coninvolti:
  • %DMZ_IP% - Ip locale del server
  • %SOURCE_IP% - Ip della macchina abilitata all'accesso da remoto
  • %VIP% - Virtual IP configurato nella sezione IP Settings ovvero l'IP pubblico dove volte pubblicare il vostro server locale.
Trovare queste due dannatissime righe non è stato facile soprattutto per capire la sequenza di catene di ClearOS e i relativi settaggi via WebGUI. Alla fine mi ha aiutato questo link dove si parla di una tecnica completamente diversa il Port Knocking!
Questa è l'unica soluzione trovata finora, se qualcuno ha qualcosa di migliore è pregato di segnalarlo nei commenti.

Byez


Vai avanti, vai avanti e riaccendi la città | e piccola, fai tutto ciò che il tuo cuore desidera | ricorda, sarò sempre lì intorno e so, so | come ti ho già detto migliaia di volte in passato | che tornerai, piccola | perché so | che tornerai bussando | sì, bussando alla mia porta...

Go ahead, go ahead and light up the town | And baby, do everything your heart desires | Remember, I'll always be around | And I know, I know | Like I told you so many times before | You're gonna come back, baby | 'Cause I know | You're gonna come back knocking | Yeah, knocking right on my door...

mercoledì, febbraio 29, 2012

IPCOP 2 - prova sul campo - parere

- post<li> - Permalink

Dopo la serie di articoli relativi alla guida all'installazione di IPCOP ho finalmente potuto provarlo sul campo in quanto mi si è presentata l'occasione. In particolare:
  • Dovevo ripristinare un firewall il cui disco era la seconda volta in un mese che si corrompeva a livello di filesystem
  • L'hardware è veramente essenziale, 256 MB di RAM, senza lettore CDROM, solo con abbondanti porte USB
  • Servizi necessari: Routing, Firewaling, Portforwarding e VPN con la sede principale
Ora dovevo scartare la mia scelta di default che in questo periodo è ClearOS perchè sotto il GB di ram, nemmeno provarci.

Inoltre volevo provare ad eliminare l'HD in favore di una più economica (e più che sufficiente) chiavetta USB!

Perchè IPCOP 2?
Installazione di IPCOP su USB
(punto 13 della guida all'installazione)
  • Perchè nel frattempo le release della versione 2 sono diventate stabili
  • Funziona bene (anzi finora benissimo)  anche con poche risorse hardware
  • Potevo attivare tutte le funzionalità richieste (anche se queste sono in posizioni diverse - vedi sotto)
  • IPCOP può essere installato da USB ...
  • ... finalmente IPCOP 2 può essere installato su USB con una serie di accorgimenti che minimizzano le scritture sul dispositivo, allungandone la vita!
La prova sul campo:
  • Ho spalmato facilmente l'immagine di installazione su una prima chiave USB e confermo che non è cambiato nulla rispetto all'articolo Installare IPCop da chiave USB - Install IPCop from USB key
  • L'hardware è stato riconosciuto tutto, subito e benissimo
  • L'installazione su USB non ha avuto nessun problema e al primo reboot tutto è filato liscio ...
  • ... o meglio è "suonato" liscio. Infatti adesso sono molto più evidenti i toni di avvio e di spegnimento. Piccola chicca: provate ad andare su http://www.ipadd.de/binary-v2.html e installare l'utility axelf.
  • Dovevo attivare l'accesso esterno, per poter fare manutenzione da remoto. Nella versione precedente ero abituato ad aggiungere a mano la riga dentro al file xtaccess/config e poi procedere via WebGUI. Ora invece gli accessi esterni (xtaccess) e i portforwarding sono raccolti nella corposa pagina firewall (sono diventati dei pulsanti).
  • Oltre agli accessi esterni (ricordarsi che ora le porte di default sono 8443 per la webgui via https e 8022 per ssh) e il portforwarding, ora nella stessa pagina è possibile configurare eventuali regole in USCITA - quello che una volta, per capirci, faceva BOT.
  • La VPN con la sede centrale (potretta con IPCOP 1.4.21) è andata su al primo colpo. Basta ricordarsi di selezionare IPSEC, perchè ora IPCOP supporta anche OpenVPN.
  • Gli aggiornamenti ora sono praticamente automatici e sicuri. Io infatti ho installato la versione 2.0.3 e poi ho effettuato l'aggiornamento minore alla 2.0.4 tutto da interfaccia web.
Che dire, io sono sempre stato un IPCOP fan, in quanto l'ho sempre apprezzato per la sua facilità di gestione e configurazione. Ora ne avevo sospeso l'uso in attesa che progredisse, ma devo dire che piano piano si sta riconquistando le mie simpatie :D

Qualcuno l'ha già provato in maniera più estensiva?

Byez

Se tutti i suoi utenti più entusiasti smettessero di tenerci, Wikipedia sparirebbe nel giro di una settimana, travolta da vandali e spam. Se in questo momento avete accesso a Wikipedia, vuol dire che anche oggi i buoni hanno vinto.[2]

giovedì, febbraio 23, 2012

VMware Certified Professional 5

- post<li> - Permalink

Per chi volesse certificarsi VMware VCP5 segnalo questo articolo con diversi riferimenti utili:

VCP5: la mia esperienza (e alcune risorse utili per lo studio)
Ora non vorrei sembrare in controtendenza a tutti i costi, ma a me è parso in linea con il precedente e con lo stesso livello di difficoltà: il pregio semmai è di essere diventato più “reale” e per me più facile proprio per questo: meno domande teoriche e riguardo parametri e configurazioni da sapere a memoria, e più mini scenari su cui ragionare. Ho sempre mal tollerato gli esami nozionistici, anche perchè esistono le documentazioni ufficiali a cui chiunque può accedere secondo necessità, senza per questo dover apparire un esperto “meno esperto”.
I requisiti sono avere sotto mano un lab dove fare le prove (celo), tempo per studiare (devotrovarlo), finanziamenti per il corso (idem).

Qualcuno all'ascolto mi riporta la sua esperienza?

Byez

Anche se indubbiamente il desiderio di conoscere è naturale per tutti gli uomini, la voglia di imparare non è cosa da tutti; la maggior parte, anzi, assaggiato quanto lo studio sia fatica e provata la stanchezza sulla propria pelle, butta alla leggera la noce ancor prima di aver rotto il guscio per gustarne il gheriglio. 

martedì, gennaio 24, 2012

CentOS 5 - yum - No module named cElementTree

- post<li> - Permalink

In diversi server CentOS 5 mi è capitato questo errore:
# yum
There was a problem importing one of the Python modules
required to run yum. The error leading to this problem was:

   No module named cElementTree

Please install a package which provides this module, or
verify that the module is installed correctly.

It's possible that the above module doesn't match the
current version of Python, which is:
2.4.3 (#1, Jul 27 2009, 17:57:39)
[GCC 4.1.2 20080704 (Red Hat 4.1.2-44)]

If you cannot solve this problem yourself, please go to
the yum faq at:
  http://wiki.linux.duke.edu/YumFaq

L'errore probabilmente è dovuto all'aggiornamento del pacchetto python-elementtree che passa da python-elementtree-1.2.6-5.i386.rpm a python-elementtree-1.2.6-7.el4.rf generando l'incompatibilità con yum.

La cosa è abbastanza fastidiosa, comunque il modo più veloce per risolverlo è
  1. Rimuovere il pacchetto con:
    > rpm -ev --nodeps python-elementtree
  2. Reinstallare il precedente con:
    > rpm -Uvh ftp://ftp.muug.mb.ca/mirror/centos/5.7/os/i386/CentOS/python-elementtree-1.2.6-5.i386.rpm

Me lo segno qui anche per futura memoria mia ;-)

Byez

Di regola non amo i memoriali moderni. Sono generalmente scritti da gente che o ha perso la memoria, o non ha mai fatto nulla che valga la pena di ricordare.  

giovedì, gennaio 19, 2012

Usare VNC per connettersi ad una Virtual Machine in ESXi 5

- post<li> - Permalink

E' possibile anche nell'ultima versione di ESXi connettersi tramite VNC ad una VirtualMachine VMWare.
I passi da fare sono due:
  1. Abilitare l'opzione dentro al file .vmx 
    • RemoteDisplay.vnc.enabled = [true|false]
    • RemoteDisplay.vnc.port = [port #]
    • RemoteDisplay.vnc.password = [optional]
  2. Creare un paio di regole nel firewall di ESXi 5
    <configroot>
      <service>
        <id>vnc</id>
        <rule id='0000'>
          <direction>inbound</direction>
          <protocol>tcp</protocol>
          <porttype>dst</porttype>
          <port>5901</port>
        </rule>
        <rule id='0001'>
          <direction>inbound</direction>
          <protocol>tcp</protocol>
          <porttype>dst</porttype>
          <port>5902</port>
        <enabled>true</enabled>
        <required>false</required>
      </service>
    </ConfigRoot>
    
Ovviamente l'uso di VNC è sconsigliato per i limiti del protocollo. Rimane consigliato l'uso del client di VMWare e una volta avviati i servizi le tradizionali interfacce RDP (Desktop Remoto) per Windows e SSH per Linux.

Se non dovessi essere stato abbastanza esaustivo l'articolo di riferimento con altri dettagli è questo: "Using a VNC Client to Connect to VMs in ESXi 5"

Byez

La gloria del maestro sono i discepoli, nei quali si rispecchia e sopravvive.  


martedì, gennaio 17, 2012

Creare un NAS basato su ZFS con Freenas

- post<li> - Permalink

Creare un NAS basato su ZFS con Freenas può essere molto utile soprattutto in configurazioni hi-end ovvero che devono essere performanti e sicure, pertanto scordatevi di provarlo sul sistemino di test da 512MB :D

ZFS possiede alcune caratteristiche interessanti come la possibilità di creare snapshot, il rilevamento e la correzione incorporata di eventuali errori (tramite checksum a 64 bit), però richiede risorse hardware che lo supportino nel proprio lavoro.

Usando Freenas 8 le varie fasi di setup sono piuttosto intuitive e sono spiegate su Building ZFS Based Network Attached Storage Using FreeNAS 8.

L'how-to è piuttosto chiaro ed esaustivo.

Byez

La semplicità è la più sospetta delle qualità: essa è fonte di grandissimo turbamento. 

giovedì, gennaio 12, 2012

6 anni di blog

- post<li> - Permalink

Eh si sono passati 6 anni dal primo post su questo blog e siccome me ne dimentico sempre ho pianificato questo post per tempo :D

Volevo solo mettere qui alcune considerazioni in ordine rigorosamente sparso:
Passato
 Futuro
  • La grafica del sito è rimasta sostanzialmente la stessa dalla sua nascita, sicuramente perchè mi considero in ordine sistemista - programmatore - per niente grafico e visto che adesso è un momento sia di riflessione che di propositi in futuro (spero breve) cambierò la grafica che è diventata incrostata da anni di prove ed esperimenti. Il template sarà più pulito e snello, molte informazioni saranno in pagine apposite, diventerà tutto molto più minimalista e ci sarà il supporto per la versione mobile.
    Qualche consiglio su cosa devo assolutamente mettere o togliere?
  • Contenuti. Non ho ancora deciso se continuare a raccogliere le briciole.101 tutte assieme o pubblicare le segnalazioni di volta in volta quando le trovo. Qualcuno mi dice la sua opinione in merito?
Il mio futuro professionale sta cambiando e non è ancora completamente definito, spero che il mio blog ne risenta solo in maniera positiva! :D
Stay tuned
Byez

Sii il cambiamento che vuoi vedere avvenire nel mondo.