CentOS: metadati di yum firmati

CentOS ha aggiunto la firma digitale ai metadati del repository degli aggiornamenti alle versioni 6 e 7.

Fin’ora yum, il programma utilizzato per scaricare gli aggiornamenti, di default verificava solamente la firma digitale dei pacchetti RPM. Leggi tutto “CentOS: metadati di yum firmati”

Migliorare la sicurezza di CentOS 7

Su High on Coffe c’è un articolo con una serie di consigli per migliorare la sicurezza di CentOS 7.

Non si tratta della solita prolissa guida di RedHat, ma di una serie di controlli da effettuare su un’installazione se si vuole migliorare la sicurezza di una parte del sistema.

Un altro vantaggio di questa guida è che si basa su un’installazione minimale di CentOS 7. Leggi tutto “Migliorare la sicurezza di CentOS 7”

CentOS diventa parte di RedHat

CentOSLa scorsa notte Karanbir Singh ha annunciato che CentOS entra a far parte della famiglia RedHat.

È ancora troppo presto sia per stracciarsi le vesti urlando al Gombloddo!!1!1! sia per tirar fuori una bottiglia di quello buono per festeggiare.

Ricordo di aver utilizzato RedHat praticamente da quando è nata come progetto pubblico, quello che mi è piaciuta da subito è un’organizzazione uniforme tra i pacchetti dell’uso delle directory, cosa che altre distribuzioni del periodo non avevano e hanno adottato più tardi.

Quando RedHat è diventata di fatto a pagamento un gruppo di persone ha deciso di prendere i sorgenti (pubblici per adempiere ai termini della licenza) e ricompilarli per ottenere una copia esatta anche a livello binario. La comunità è cresciuta, non senza incidenti di percorso, al punto che altri hanno copiato il modello per creare altre distribuzioni, tra cui ad esempio Scientific Linux.

Leggi tutto “CentOS diventa parte di RedHat”

PHP FastCGI Process Manager con CentOS 6

Con Apache gli script PHP possono essere interpretati essenzialmente in due modi: attraverso un modulo apposito (mod_php) o richiamando l’interprete PHP con FastCGI.

In molti casi si utilizza mod_php perché è l’opzione di default preconfigurata, ma ci sono delle alternative, con vantaggi e svantaggi che vanno valutati con attenzione.

mod_php è in genere (ma anche qui ci potrebbero essere eccezioni) più veloce e permette di personalizzare alcune direttive di configurazione all’interno del file .htacess; il rovescio della medaglia è che l’interprete PHP viene caricato assieme ad ogni istanza di Apache, anche quando non serve perché viene richiesto un file di testo o un file con un’immagine, e viene eseguito nel suo stesso contesto di sicurezza.

Utilizzando FastCGI il codice eseguito dall’interprete PHP è completamente separato da quello del web server, quindi si può definire un contesto di sicurezza differente da quello utilizzato dal server e l’interprete viene eseguito solamente quando è necessario. Nel 2012 è stata scoperta una vulnerabilità di PHP eseguito via CGI tale per cui richiamando una pagina mettendo nell’URL ?-s (esempio: http://www.example.com/index.php?-s) viene visualizzato il sorgente dello script al posto del risultato. Il baco è stato corretto, ma vale la pena di eseguire un test se si passa da mod_php a FastCGI.

Dalla versione 5.3 PHP ha introdotto FastCGI Process Manager (FPM), una tecnologia per demonizzare l’interprete PHP e richiamarlo da server HTTP differenti anche, volendo, da host diversi. FPM crea uno o più pool di server, ciascuno con un proprio contesto di sicurezza e una propria configurazione, in questo modo il numero di worker che interpretano il codice PHP può essere diverso dai worker del server HTTP.

Vediamo come passare da mod_php a FPM su un’installazione CentOS 6.

Leggi tutto “PHP FastCGI Process Manager con CentOS 6”

RedHat 7 beta 1: prova di installazione

Ho fatto la prima installazione di prova di una RedHat 7.0 beta 1.

Dopo aver scaricato l’ISO, ho creato una macchina virtuale su VMware Workstation 9 con queste caratteristiche: 2 Gb RAM, 20 Gb disco, singolo processore 64 bit a un core, NIC in bridge, sistema operativo Linux 2.6.x a 64 bit generico.

Il boot da CD lascia 30 secondi di tempo per decidere se partire subito, attivare il rescue mode oppure cambiare i parametri del kernel.

Red Hat 7 Beta 1 - Welcome

Anaconda ha un nuovo aspetto grafico, la procedura di installazione non è più in formato wizard ma propone tutti gli elementi da configurare in una schermata riassuntiva unica e lascia decidere al SysAdmin cosa configurare e in che ordine. Nota: il partizionamento dei dischi è l’ultimo dell’elenco e potrebbe essere necessario utilizzare le scroll bar per visualizzarlo.

Leggi tutto “RedHat 7 beta 1: prova di installazione”

RedHat 7.0 beta 1

RedHat ha annunciato la disponibilità di RedHat Enterprise Linux 7 Beta 1.

La versione beta è liberamente scaricabile da tutti per la valutazione e per segnalare anche eventuali problemi.

A differenza dalla precedente versione 6, sarà possibile effettuare un aggiornamento in place della versione 6.5 senza la necessità di riformattare o reinstallare da zero.

Non è più possibile installare la versione 7 su processori a 32 bit, il cui supporto è garantito attraverso la virtualizzazione oppure un layer di compatibilità software.

Le nuove installazioni della distribuzione avranno per default il file system xfs, anche se sono comunque supportati i file system ext.

Tra le novità e i limiti di Red Hat 7 si possono annoverare:

  • 3 Tb di RAM massima, 1 Gb di RAM minima (per la versione x86_64);
  • file system di massimo 500 Tb e singolo file di massimo 16 Tb con xfs;
  • kernel 3.10.0;
  • systemd sostituisce gli script di init e altri aspetti di avvio del sistema;
  • ext2 ed ext3 sono sconsigliati e dovrebbero essere sostituiti in place da ext4;
  • webalizer, thunderbird e compiz sono stati rimossi;
  • MariaDB ha sostituito MySQL;
  • sendmail è sconsigliato, anche se non ci voleva Red Hat…

Questo è solamente un assaggio della novità che sono elencate in dettaglio nelle note di rilascio.

Chi utilizza o amministra RedHat o CentOS dovrebbe familiarizzare con la versione 7 prima di metterla in produzione perché alcune novità, come systemd, sono davvero strutturali.

Il team di CentOS sta già lavorando per costruire l’ambiente della versione 7.

CentOS 6.5

CentOSÈ stata rilasciata la versione 6.5 di CentOS, la distribuzione linux gratuita compatibile anche a livello binario con RedHat.

Come di consueto, i sistemi su cui era attiva la Continuous Release (CR) hanno di fatto ricevuto tutti gli aggiornamenti la scorsa settimana.

Tra le novità si possono segnalare:

  • pieno supporto del Precision Time Protocol, precedentemente classificato come technology previrew. Il PTP è un protocollo che permette una precisione maggiore di NTP per i contesti dove è necessaria la sincronizzazione ad altra precisione senza dover installare un ricevitore GPS su ogni host;
  • OpenSSL è stato aggiornato a 1.0.1 e supporta TLS 1.1 e 1.2;
  • KVM è stato migliorato e supporta l’hotplug delle CPU;
  • sono stati aggiornati i driver di Hyper-V;
  • Evolution 2.32;
  • LibreOffice 4.0.4.

Si possono scaricare le immagini ISO delle installazioni via torrent (i386, x86_64) oppure da uno dei mirror.

CentOS 6 lento a partire con VMware

Manometri locomotivaSe si utilizzano le ultime versioni dei tool di VMware per Linux, i sistemi virtualizzati con CentOS potrebbero presentare dei forti ritardi al boot.

Dal momento che non ho macchine Linux sui VMware 5.1 che ho in giro, mi sono accorto di questo problema quando ho attivato l’installazione dei tool tramite i repository yum.

Se viene attivata questa comodissima feature il sistema potrebbe impiegare fino a 15 minuti per completare il boot, al termine del quale il file /var/log/boot.log contiene più righe come questa:

vmsvc[xxxx]: [ warning] [guestinfo] RecordRoutingInfo: Unable to collect IPv4 routing table.

dove al posto di xxxx c’è il PID del job.

Leggi tutto “CentOS 6 lento a partire con VMware”

CentOS 5.9

CentOSÈ disponibile la versione 5.9 di CentOS.

Chi ha abilitato il repository continuous release ha già ricevuto tutti gli aggiornamenti negli scorsi giorni.

Tra le novità, la nuova versione di ant e java-openjdk.

È disponibile come alternativa il pacchetto di installazione della nuova versione di rsyslog (rsyslog5), anche se la vecchia versione 3 (rsyslog) viene installata di default.

Sono stati aggiunti i driver nativi per il sistema di virtualizzazione Hyper-V di Microsoft.

Il pacchetto samba3x è ora basato su samba 3.6, che include NTLM2 e un nuovo printer server.

Ulteriori dettagli sono disponibili nelle note di rilascio.

Tunneling IPv6 di HE con Linux CentOS

Nota aggiunta il 30/9/2013: a questa soluzione è da preferire quella descritta in un articolo successivo con pfSense e KVM.

(alcune parti sono state modificate dopo la pubblicazione)

Questo articolo spiega come impostare un tunnel IPv6 con Linux CentOS 5 configurato come gateway, NAT e firewall di una LAN.

Lo scenario è il seguente: un router ADSL con IPv4 pubblico collegato ad un Linux che fa da NAT/firewall per la LAN. In questo esempio eth0 è l’interfaccia WAN con un IPv4 pubblico /29 e eth1 è l’interfaccia LAN con un IPv4 /24.

Alla fine della procedura la classe /64 di IPv6 pubblici con reverse DNS potrà essere utilizzata per assegnare indirizzi pubblici ai dispositivi IPv6 in LAN, incluso il gateway Linux.

Leggi tutto “Tunneling IPv6 di HE con Linux CentOS”

IPv6 su un host CentOS

Questo articolo inaugura una (spero) nutrita serie di articoli sull’IPv6 per cui è stata creata una tassonomia specifica.

L’idea è che tutti gli autori del blog condividano le proprie esperienze con IPv6 e le mettano a disposizione degli altri, che le possono consultare utilizzando le categorie nella colonna a sinistra.

Se qualcuno vuole contribuire come guest blogger oppure come autore ricorrente, per questo tema (o anche per altri) mi scriva pure a lrosa()siamogeek.com.

Scenario: abbiamo un server CentOS headless in hosting con un IPv4 fisso e configurato, che utilizziamo per fare amministrazione via ssh e dobbiamo aggiungere un indirizzo IPv6 che ci ha assegnato il fornitore.

La prima differenza rispetto ad un IPv4 è che non ci vengono assegnati, generalmente, uno o due indirizzi, ma un blocco. Nel mio caso mi hanno dato 2a01:4f8:d15:1c00::/64; dal momento che IPv6 ha 128 bit di indirizzo, un /64 significa che ho 64 bit di indirizzo fisso (2a01:4f8:d15:1c00) e altrettanti disponibili per il mio server. Un sogno, se ragioniamo con il razionamento di IPv4.

Leggi tutto “IPv6 su un host CentOS”

CentOS 5.8

È stata rilasciata la versione 5.8 di CentOS.

L’aggiornamento da qualsiasi versione 5.x può essere fatto eseguendo il comando yum update, non è necessario scaricare i media di installazione.

Come nella versione precedente, i DVD di installazione sono ora due e il secondo contiene solamente i language pack di OpenOffice. Si può tranquillamente utilizzare un solo DVD e installare i language pack in seguito.

Sono stati aggiunti questi pacchetti: binutils220, iotop, mysql-connector-odbc64, pixman, postgresql-odbc64, python-ctypes, spice-client, spice-protocol, virt-who e unixODBC64.

L’elenco dei pacchetti aggiornati e tutte le altre informazioni sono disponibili nelle note di rilascio.

Le immagini ISO sono disponibili; per il download è sempre consigliabile utilizzare i torrent.

Aggiornamenti di PHP per CentOS

Sono stati rilasciati gli aggiornamenti dei pacchetti php e php53 di CentOS versione 6 e 5.x rispettivamente.

Questo aggiornamento corregge due bachi di sicurezza dell’interprete, come indicato nella nota di quello che CenOS chiama l’upstream.

Il primo baco corretto riguarda la funzione di hash degli array suscettibile di collisioni prevedibili. Se un HTTP POST contiene molti parametri il cui nome ha il medesimo hash, il consumo di CPU di PHP aumenta notevolmente.

Questo problema è stato mitigato introducendo la direttiva di configurazione max_input_vars, il cui valore di default è 1.000.

Il secondo baco corretto riguarda un integer overflow sui sistemi a 32 bit: se viene caricata un’immagine i cui dati EXIF sono stati modificati ad arte, l’interprete va in crash e potrebbe esporre i dati che ha in memoria.

CentOS 6.1

Il team di sviluppo di CentOS ha annunciato la disponibilità dei supporti di installazione della versione 6.1.

Chi ha attivato il repository cr (ed è saggio farlo sia per la 5.x sia per la 6.x) di fatto vedrà da oggi solamente una manciata di aggiornamenti. Per attivare questo repository basta installare il pacchetto centos-release-cr.

Gli ISO per creare i kit di installazione sono disponibili presso i mirror abituali o possono essere scaricati via BitTorrent seguendo questi link:

È anche disponibile in download diretto una versione minimale (i386, x86_64) che contiene un gruppo minimale di pacchetti con il sistema standard di installazione, ma senza possibilità di scelta durante il setup. Questa versione contiene comunque il sistema di recovery e rescue, maggiori informazioni nelle note di rilascio.

Nessun aggiornamento per CentOS 5?

Avete una CentOS 5.6 e non vedete aggiornamenti da qualche settimana?

Probabilmente vi siete persi l’annuncio fatto a ferragosto dell’apertura di un novo repository denominato Continuous Release (cr).

Lo scopo del cr è di mantenere aggiornate le versioni 5.6 alle nuove uscite della 5.7 upstream. Quando la CentOS 5.7 sarà pronta, la transazione per chi ha collegato il repository cr sarà indolore e il repository stesso verrà integrato nella 5.7

Per aggiungere il repository è sufficiente installare gli RPM relativi per le piattaforme a 32 o a 64 bit.

È previsto un repository analogo anche per la versione 6.0.

Per ricevere gli annunci sull Continuous Release è stata creata una mailing list apposita.