Quanto è vecchia la vostra chiave ssh?
Rigenerare le chiavi ssh usate per collegarsi ai server è una rottura di scatole, ma potrebbe essere una rottura di molte unità di grandezza inferiore rispetto allo scoprire che una chiave ssh viene usata da mesi a nostra insaputa.
Quanto sono cortelunghe le chiavi ssh registrate nei file authorized-keys dei vostri server?
Per fortuna a questa ultima domanda c’è una risposta veloce sotto forma di un pratico script shell. (altro…)
La buona abitudine di usare gli script sta tornando anche nell’ambiente Windows.
Dopo alcuni aborti come VBscript e alcune soluzioni di terze parti come KiXtart, sembra che PowerShell sia diventato il linguaggio di scripting sulla cui disponibilità nei client si può fare affidamento per l’immediato futuro.
PowerShell è una CLI molto potente e non ha nulla a che fare con CMD.EXE. L’ostacolo maggiore è che ha una serie di comandi e una sintassi completamente diverse da CMD.EXE, perciò l’amministratore di un sistema Windows deve impararsi di fatto un linguaggio nuovo.
Tra le differenze c’è l’interpretazione delle wildcard nella cancellazione dei file. (altro…)
«Il server è lento».
Una frase molto comune che tutti possono pronunciare. La ricerca delle cause dei rallentamenti spesso non è così semplice perché non è affatto detto che la causa sia una sola né che risieda all’interno del server.
Diversamente da Windows, Linux ha una struttura interna ben documentata al pubblico, inoltre negli anni sono stati sviluppati molti tool a livello utente che permettono di compiere analisi molto dettagliate sullo stato del kernel e del sistema e consentono di modificare i parametri operativi di funzionamento, molti dei quali senza riavviare il sistema operativo.
Brendan Gregg, Senior Performance Architet di Netflix, ha fatto un lavoro encomiabile di raccolta e catalogazione dei tool che possono aiutare il SysAdmin nella ricerca dei problemi e nella loro soluzione.
Sul sito ci sono alcune immagini come quella riportata in questo articolo che aiutano a capire quale sia il tool giusto per operare nel punto in cui si vuole analizzare il problema o modificare un parametro.
Per chi ha a che fare con problemi di performance delle macchine Linux, la pagina di Brendan è un ottimo punto di partenza che guida il SysAdmin nell’analisi dei problemi.
Questo articolo spiega come configurare una struttura WAMP su un Windows 7 installando i singoli programmi separatamente.
Esistono anche dei kit preconfezionati come, a puro titolo di esempio, EasyPHP, ma è più istruttivo costruire da soli la propria configurazione in quanto si imparano meglio il funzionamento e l’interazione dei vari componenti, si possono aggiornare i singoli programmi senza dipendere da terzi ed è molto più semplice di quello che si possa credere. Le istruzioni di seguito partono da alcuni presupposti e hanno alcune limitazioni, tra cui:
Queste istruzioni sono valide per le ultime versioni di Apache (2.4), PHP (5.5) e MariaDB (10.0), con versioni precedenti potrebbero essere necessarie ulteriori modifiche o accorgimenti per far funzionare il tutto. (altro…)
Il famoso ransomware Cry
ptoLocker e` stato, a quanto pare, adattato per poter girare direttamente dentro ai NAS Synology. Al momento non so in quale modo viene portato l’attacco, ovvero in che modo il malware si installi nel NAS, ma mi sembra ovvio che sia opportuno prendere in considerazione le classiche misure di sicurezza, soprattutto fino a che non sara` fatta piu` luce sul problema.
Visto che ancora non si sa come il malware penetri nel NAS, puo` essere che la via di infezione sia a mezzo di un altro malware che gira su un PC Windows nella LAN del NAS, in questo caso le precauzioni relative all’accesso via internet sarebbero inutili, ma e` comunque meglio prenderle in considerazione tutte. E` altrettanto logico che un PC infetto sul quale sia stata salvata (o anche solo digitata) la password di amministrazione e` un vettore di attacco contro il quale non c’e` soluzione, se non spegnere il NAS. 
Aggiornamento: Cercando notizie in giro ho scoperto che da parecchio tempo (diversi mesi, pare) e` in giro un malware che infetta i NAS Synology e che mina bitcoin, senza fare altri danni. A parte che trovo assurdo minare bitcoin con le CPU ridicole che si trovano nei NAS, questo nuovo malware potrebbe evidentemente avere ereditato le capacita` di attacco dal vecchio bitcoin miner.
Oggi ricorre l’annuale System Administrator Appreciation Day.
Ci sono tante definzioni di SysAdmin, traducibile in italiano con sistemista; uno dei modi per capire se un tecnico informatico è anche un vero SysAdmin è vedere se quella persona “ci tiene” a che le cose vadano bene e che tutto funzioni come si deve.
Spesso, però, le azioni che il SysAdmin fa per fare andar bene le cose sono comprensibili solamente ad altri colleghi, anche perché è impossibile spiegare a non addetti ai lavori una frase tipo “script bash che monitora la porta TCP e restarta il demone se non risponde entro un timeout”.
Il lavoro del SysAdmin spesso è paragonabile alla manutenzione delle fognature: non se ne accorge nessuno finché le cose funzionano, ma quando qualcosa non va…
Prima o poi i sistemisti domineranno la Terra, nel frattempo oggi offrite almeno un caffè al vostro SysAdmin.
Il funzionamento dell’informatica per gli utenti è spesso un mistero, più simile a magia nera che a tecnica. C’è da dire che molto spesso, chi lavora in ambito IT e si spaccia per professionista non fa altro che alimentare la confusione, invece di risolverla.
In particolare, un argomento sempre ostico per l’utente è la questione della estensione del nome file: quella sigla poco comprensibile, succinta e spesso incomprensibile che segue il punto dopo il nome del file.
Perchè sia lì, a cosa serva, come sia fatta e via dicendo spesso è un mistero ed è apparentemente complicato far capire alle persone il suo semplice funzionamento.
Tutti sappiamo che, in Windows, l’estensione è un identificativo che, tramite una tabella di associazione, dice al sistema operativo con quale applicativo deve manipolare il file. Per la maggior parte degli utenti, invece l’estensione ha la proprietà magica di rivoluzionare il contenuto del file.
Nei miei corsi, quando cerco di spiegare questo concetto, normalemente prendo un bicchiere di plastica con una etichetta bicchiere attaccata sopra e chiedo alla platea che cosa sia. Quasi tutti riescono a rispondere correttamente, identificando l’oggetto.
Dopodichè cambio l’etichetta con una con scritto forchetta e ripeto la stessa domanda: di nuovo la maggior parte riesce a rispondere correttamente.
Passo infine a chiedere perchè se il bicchiere non è cambiato, perchè un file dovrebbe farlo, semplicemente sostituendo una scritta attaccata sopra. (altro…)
Più di 500.000 computer e 25.000 server compromessi, incluso il server di kernel.org, e oltre 700 server ancora infetti in questo momento.
Sono alcuni dei numeri di un rapporto pubblicato da ESET (PDF) sull’operazione Windigo, un’azione su larga scala che ha interessato piattaforme di ogni tipo.
Questa è più o meno la scansione degli eventi:
Qualche giorno addietro in un gruppo di Facebook dedicato ai sistemisti Unix sono state pubblicate alcune definizioni di “sistemista”.
Sono cosi` belle che ho voluto raccoglierle qui.
Ho preso da poco un cliente che fra i mille problemi che ha mi dice che spesso non riesce a inviare email.
Mi sono fatto mandare i dettagli dell’errore, e ho scoperto che il server email del suo fornitore (un emerito sconosciuto che gli fornisce la mail e l’hosting web) gli rifiuta le mail senza alcuna indicazione utile nel messaggio di errore (550) del protocollo SMTP.
Avevo il dubbio che per qualche motivo il client non si autenticasse, cosi` ho tirato fuori uno sniffer e ho verificato. Il client si autenticava correttamente, ma quando tentava di mandare la mail veniva rifiutato.
La cosa che mi lasciava perplesso era che aveva smesso di funzionare all’improvviso e apparentemente senza motivo. Il fatto che poi non vi fosse alcuna indicazione del perche` la mail venisse rifiutata aiutava ancora meno.
Per curiosita` provo (a mano, in telnet) dal mio ufficio e vedo che la mail viene accettata senza problemi.
Mi viene un dubbio atroce.
Controllo le blacklist piu` note, e scopro che l’ ip della ADSL del cliente e` in effetti in blacklist. Siccome il cliente ha ip dinamico, tento di cambiarlo disconnettendo e riconnettendo il router. Riuscito ad ottenere un ip diverso, riesco a mandare mail senza problemi.
Ora tutto e` chiaro. Il provider commette un errore madornale: controlla se l’ ip del mittente e` in blacklist anche se questo si e` autenticato. E` logico che se tutti i mail server si comportassero cosi`, nessun utente potrebbe inviare email dalla propria ADSL con ip dinamico, o da ip condivisi come quelli dietro un NAT (vedi Fastweb, H3G, ecc.).
Resomi conto di quale fosse il problema, ho provato a chiamare il provider in questione per spiegargli il problema del cliente, dapprima in modo soft e facendo finta di essere un utente normale, e poi spiegando chiaramente e in modo tecnico quale fosse il problema e quale fosse la soluzione.
La risposta del provider e` stata che “va bene cosi`” e che loro non vogliono che i clienti possano mandare spam.
Il provider ha perso un cliente. Speriamo che presto li perda tutti.
Se pensate che impostare un client di email per inviare tramite SMTP autenticato sia facile e lineare, non avete mai cercato di fare parlare assieme Apple Mail e Plesk.
Apple Mail e` il client di email installato di default sui Mac. Plesk e` un sistema (composto di varie parti, alcune delle quali open source) che serve a fornire servizio di hosting (web, email, dns, ecc) in maniera semplice e soprattutto in modo da renderlo facilmente gestibile dal cliente.
Oggi voglio parlarvi di una pratica aberrante, che io definisco “la cascata dei catorci”.
Quando un computer di qualche impiegato si rompe o e` troppo lento per le sue necessita`, anziche` comperare un computer nuovo all’impiegato in oggetto l’azienda comprera` un computer nuovo per il titolare, quindi dara` l’ ex-pc del titolare alla persona subito sotto di lui, l’ ex-pc di questa persona alla persona subito sotto di lui, e cosi` via, fino ad arrivare a sostituire il pc troppo lento in oggetto.
In pratica il PC nuovo viene inserito al vertice dell’organigramma, e tutti i vecchi PC piu` in basso cadono, a cascata, verso il gradino piu` basso dell’organigramma stesso. (altro…)
Notifiche