SIAMO GEEK

Categoria: SysAdmin

  • Ridurre lo spazio di WSUS

    Molti lamentano che WSUS occupa troppo spazio su disco.

    Se l’opzione di utilizzare wsusutil movecontent non è praticabile oppure si desidera proprio togliere di mezzo un po’ di file, allora si può seguire questa procedura. (altro…)

  • Rigenerare le chiavi ssh

    Quanto è vecchia la vostra chiave ssh?

    Rigenerare le chiavi ssh usate per collegarsi ai server è una rottura di scatole, ma potrebbe essere una rottura di molte unità di grandezza inferiore rispetto allo scoprire che una chiave ssh viene usata da mesi a nostra insaputa.

    Quanto sono cortelunghe le chiavi ssh registrate nei file authorized-keys dei vostri server?

    Per fortuna a questa ultima domanda c’è una risposta veloce sotto forma di un pratico script shell. (altro…)

  • Cancellare i file: CMD vs. PowerShell

    La buona abitudine di usare gli script sta tornando anche nell’ambiente Windows.

    Dopo alcuni aborti come VBscript e alcune soluzioni di terze parti come KiXtart, sembra che PowerShell sia diventato il linguaggio di scripting sulla cui disponibilità nei client si può fare affidamento per l’immediato futuro.

    PowerShell è una CLI molto potente e non ha nulla a che fare con CMD.EXE. L’ostacolo maggiore è che ha una serie di comandi e una sintassi completamente diverse da CMD.EXE, perciò l’amministratore di un sistema Windows deve impararsi di fatto un linguaggio nuovo.

    Tra le differenze c’è l’interpretazione delle wildcard nella cancellazione dei file. (altro…)

  • Cercare nel punto giusto

    Linux performance tools by Brendan Gregg«Il server è lento».

    Una frase molto comune che tutti possono pronunciare. La ricerca delle cause dei rallentamenti spesso non è così semplice perché non è affatto detto che la causa sia una sola né che risieda all’interno del server.

    Diversamente da Windows, Linux ha una struttura interna ben documentata al pubblico, inoltre negli anni sono stati sviluppati molti tool a livello utente che permettono di compiere analisi molto dettagliate sullo stato del kernel e del sistema e consentono di modificare i parametri operativi di funzionamento, molti dei quali senza riavviare il sistema operativo.

    Brendan Gregg, Senior Performance Architet di Netflix, ha fatto un lavoro encomiabile di raccolta e catalogazione dei tool che possono aiutare il SysAdmin nella ricerca dei problemi e nella loro soluzione.

    Sul sito ci sono alcune immagini come quella riportata in questo articolo che aiutano a capire quale sia il tool giusto per operare nel punto in cui si vuole analizzare il problema o modificare un parametro.

    Per chi ha a che fare con problemi di performance delle macchine Linux, la pagina di Brendan è un ottimo punto di partenza che guida il SysAdmin nell’analisi dei problemi.

  • WAMP su Windows 7

    Questo articolo spiega come configurare una struttura WAMP su un Windows 7 installando i singoli programmi separatamente.

    Esistono anche dei kit preconfezionati come, a puro titolo di esempio, EasyPHP, ma è più istruttivo costruire da soli la propria configurazione in quanto si imparano meglio il funzionamento e l’interazione dei vari componenti, si possono aggiornare i singoli programmi senza dipendere da terzi ed è molto più semplice di quello che si possa credere. Le istruzioni di seguito partono da alcuni presupposti e hanno alcune limitazioni, tra cui:

    • l’installazione non ha una sicurezza adatta ad un server pubblico, ma è pensata per un server di sviluppo protetto da altri metodi;
    • la piattaforma su cui viene installato il tutto è un Windows 7 a 64 bit e, dove possibile, vengono installate le versioni a 64 bit dei programmi;
    • vengono installate le ultime versioni disponibili dei software cercando il più possibile di mantenere i default;
    • tutti i download suggeriti riguardano solamente programmi gratuiti, anche se per alcune utility esistono alternative a pagamento;
    • ripeto: non usate questa procedura per configurare un server pubblicato su Internet.

    Queste istruzioni sono valide per le ultime versioni di Apache (2.4), PHP (5.5) e MariaDB (10.0), con versioni precedenti potrebbero essere necessarie ulteriori modifiche o accorgimenti per far funzionare il tutto. (altro…)

  • Synolocker

    Il famoso ransomware CrysynolockerptoLocker e` stato, a quanto pare, adattato per poter girare direttamente dentro ai NAS Synology. Al momento non so in quale modo viene portato l’attacco, ovvero in che modo il malware si installi nel NAS, ma mi sembra ovvio che sia opportuno prendere in considerazione le classiche misure di sicurezza, soprattutto fino a che non sara` fatta piu` luce sul problema.

     

     

    1. Se possibile, staccare totalmente il NAS da internet
    2. Se non e` possibile, esporre solo le porte veramente necessarie. Ad esempio esporre la porta del file manager ma non quella dell’amministrazione
    3. Esporre se possibile il NAS usando porte non standard (riduce il rischio di essere oggetto di un attacco casuale)
    4. Assicurarsi che il NAS non sfrutti UPNP per aprire delle porte sul router all’insaputa dell’utente
    5. Impostare password complesse e lunghe
    6. Aggiornare il firmware del NAS
    7. Tenere un backup offline dei files.

     

    Visto che ancora non si sa come il malware penetri nel NAS, puo` essere che la via di infezione sia a mezzo di un altro malware che gira su un PC Windows nella LAN del NAS, in questo caso le precauzioni relative all’accesso via internet sarebbero inutili, ma e` comunque meglio prenderle in considerazione tutte. E` altrettanto logico che un PC infetto sul quale sia stata salvata (o anche solo digitata) la password di amministrazione e` un vettore di attacco contro il quale non c’e` soluzione, se non spegnere il NAS. 🙂

    Aggiornamento: Cercando notizie in giro ho scoperto che da parecchio tempo (diversi mesi, pare) e` in giro un malware che infetta i NAS Synology e che mina bitcoin, senza fare altri danni. A parte che trovo assurdo minare bitcoin con le CPU ridicole che si trovano nei NAS, questo nuovo malware potrebbe evidentemente avere ereditato le capacita` di attacco dal vecchio bitcoin miner.

     

     

  • Festeggiate i SysAdmin

    keep-calm-and-call-a-sysadminOggi ricorre l’annuale System Administrator Appreciation Day.

    Ci sono tante definzioni di SysAdmin, traducibile in italiano con sistemista; uno dei modi per capire se un tecnico informatico è anche un vero SysAdmin è vedere se quella persona “ci tiene” a che le cose vadano bene e che tutto funzioni come si deve.

    Spesso, però, le azioni che il SysAdmin fa per fare andar bene le cose sono comprensibili solamente ad altri colleghi, anche perché è impossibile spiegare a non addetti ai lavori una frase tipo “script bash che monitora la porta TCP e restarta il demone se non risponde entro un timeout”.

    Il lavoro del SysAdmin spesso è paragonabile alla manutenzione delle fognature: non se ne accorge nessuno finché le cose funzionano, ma quando qualcosa non va…

    Prima o poi i sistemisti domineranno la Terra, nel frattempo oggi offrite almeno un caffè al vostro SysAdmin.

  • Estensione esagerata

    Il funzionamento dell’informatica per gli utenti è spesso un mistero, più simile a magia nera che a tecnica. C’è da dire che molto spesso, chi lavora in ambito IT e si spaccia per professionista non fa altro che alimentare la confusione, invece di risolverla.
    In particolare, un argomento sempre ostico per l’utente è la questione della estensione del nome file: quella sigla poco comprensibile, succinta e spesso incomprensibile che segue il punto dopo il nome del file.

    Perchè sia lì, a cosa serva, come sia fatta e via dicendo spesso è un mistero ed è apparentemente complicato far capire alle persone il suo semplice funzionamento.
    Tutti sappiamo che, in Windows, l’estensione è un identificativo che, tramite una tabella di associazione, dice al sistema operativo con quale applicativo deve manipolare il file. Per la maggior parte degli utenti, invece l’estensione ha la proprietà magica di rivoluzionare il contenuto del file.

    Nei miei corsi, quando cerco di spiegare questo concetto, normalemente prendo un bicchiere di plastica con una etichetta bicchiere attaccata sopra e chiedo alla platea che cosa sia. Quasi tutti riescono a rispondere correttamente, identificando l’oggetto.
    Dopodichè cambio l’etichetta con una con scritto forchetta e ripeto la stessa domanda: di nuovo la maggior parte riesce a rispondere correttamente.
    Passo infine a chiedere perchè se il bicchiere non è cambiato, perchè un file dovrebbe farlo, semplicemente sostituendo una scritta attaccata sopra. (altro…)

  • Operation Windigo

    Più di 500.000 computer e 25.000 server compromessi, incluso il server di kernel.org, e oltre 700 server ancora infetti in questo momento.

    Sono alcuni dei numeri di un rapporto pubblicato da ESET (PDF) sull’operazione Windigo, un’azione su larga scala che ha interessato piattaforme di ogni tipo.

    Questa è più o meno la scansione degli eventi:

    • agosto 2011: il server di kernel.org viene compromesso (tornerà online in ottobre);
    • novembre 2011: Steinar Gunderson pubblica la prima analisi tecnica di Linux/Ebury, un trojan che colpisce i server ssh;
    • febbraio 2013: cPanel denuncia che alcuni suoi server sono stati infettati da Linux/Ebury; il CERT tedesco inizia ad avvertire alcune vittime del medesimo trojan;
    • aprile 2013: Sucuri pubblica la prima analisi tecnica di Linux/Cdorked, una backdoor che colpisce Apache, Nginx e lighttpd;
    • giugno 2013: viene trovato un nesso tra Linux/Ebury e Linux/Cdorked; l’analisi di frammenti di traffico rivela che Linux/Ebury ha infettato oltre 7.500 server;
    • luglio 2013: viene scoperto Perl/Calfbot, legato ai due malware di cui sopra;
    • settembre 2013: l’analisi del traffico rivela che Linux/Cdorked genera oltre un milione di ridirezioni in due giorni;
    • ottobre 2013: l’analisi del traffico rivela che oltre 12.000 server sono infettati da Linux/Ebury;
    • gennaio 2014: l’analisi del traffico di un C&C di Perl/Calfbot rivela che il bot genera 35 milioni di messaggi al giorno.

    (altro…)

  • Il vero sistemista

    keep-calm-and-call-a-sysadmin

    Qualche giorno addietro in un gruppo di Facebook dedicato ai sistemisti Unix sono state pubblicate alcune definizioni di “sistemista”.

    Sono cosi` belle che ho voluto raccoglierle qui.

     

     

     

     

     

     

     

    (altro…)

  • L’insostenibile difficoltà di mandare una mail (2)

    Ho preso da poco un cliente che fra i mille problemi che ha mi dice che spesso non riesce a inviare email.

    Mi sono fatto mandare i dettagli dell’errore, e ho scoperto che il server email del suo fornitore (un emerito sconosciuto che gli fornisce la mail e l’hosting web) gli rifiuta le mail  senza alcuna indicazione utile nel messaggio di errore (550) del protocollo SMTP.

    Avevo il dubbio che per qualche motivo il client non si autenticasse, cosi` ho tirato fuori uno sniffer e ho verificato. Il client si autenticava correttamente, ma quando tentava di mandare la mail veniva rifiutato.

    La cosa che mi lasciava perplesso era che aveva smesso di funzionare all’improvviso e apparentemente senza motivo. Il fatto che poi non vi fosse alcuna indicazione del perche` la mail venisse rifiutata aiutava ancora meno.

    Per curiosita` provo (a mano, in telnet) dal mio ufficio e vedo che la mail viene accettata senza problemi.

    Mi viene un dubbio atroce.

    Controllo le blacklist piu` note, e scopro che l’ ip della ADSL del cliente e` in effetti in blacklist. Siccome il cliente ha ip dinamico, tento di cambiarlo disconnettendo e riconnettendo il router. Riuscito ad ottenere un ip diverso, riesco a mandare mail senza problemi.

    Ora tutto e` chiaro. Il provider commette un errore madornale: controlla se l’ ip del mittente e` in blacklist anche se questo si e` autenticato. E` logico che se tutti i mail server si comportassero cosi`, nessun utente potrebbe inviare email dalla propria ADSL con ip dinamico, o da ip condivisi come quelli dietro un NAT (vedi Fastweb, H3G, ecc.).

    Resomi conto di quale fosse il problema, ho provato a chiamare il provider in questione per spiegargli il problema del cliente, dapprima in modo soft e facendo finta di essere un utente normale, e poi spiegando chiaramente e in modo tecnico quale fosse il problema e quale fosse la soluzione.

    La risposta del provider e` stata che “va bene cosi`” e che loro non vogliono che i clienti possano mandare spam.

    Il provider ha perso un cliente.  Speriamo che presto li perda tutti.

     

  • L’insostenibile difficoltà di mandare una mail

    round-hole-square-pegSe pensate che impostare un client di email per inviare tramite SMTP autenticato sia facile e lineare, non avete mai cercato di fare parlare assieme Apple Mail e Plesk.

    Apple Mail e` il client di email installato di default sui Mac. Plesk e` un sistema (composto di varie parti, alcune delle quali open source) che serve a fornire servizio di hosting (web, email, dns, ecc) in maniera semplice e soprattutto in modo da renderlo facilmente gestibile dal cliente.

    (altro…)