SIAMO GEEK

Tag: linux

  • CentOS 6.5

    CentOSÈ stata rilasciata la versione 6.5 di CentOS, la distribuzione linux gratuita compatibile anche a livello binario con RedHat.

    Come di consueto, i sistemi su cui era attiva la Continuous Release (CR) hanno di fatto ricevuto tutti gli aggiornamenti la scorsa settimana.

    Tra le novità si possono segnalare:

    • pieno supporto del Precision Time Protocol, precedentemente classificato come technology previrew. Il PTP è un protocollo che permette una precisione maggiore di NTP per i contesti dove è necessaria la sincronizzazione ad altra precisione senza dover installare un ricevitore GPS su ogni host;
    • OpenSSL è stato aggiornato a 1.0.1 e supporta TLS 1.1 e 1.2;
    • KVM è stato migliorato e supporta l’hotplug delle CPU;
    • sono stati aggiornati i driver di Hyper-V;
    • Evolution 2.32;
    • LibreOffice 4.0.4.

    Si possono scaricare le immagini ISO delle installazioni via torrent (i386, x86_64) oppure da uno dei mirror.

  • Ubuntu 13.10 Saucy Salamander

    UbuntuSeconda versione di Ubuntu per quest’anno.

    Non ci sono grosse novità, sembra quasi una versione di preparazione per la prossima 14.04 LTS.

    Questa volta ho provato ad aggiornare da command line anziché via interfaccia grafica con il comando sudo do-release-upgrade e non ho notato sostanziali differenze, visto che essenzialmente fa le stesse cose della versione grafica.

    In questa versione è stato rimosso il downloader per Windows. Chi volesse provare Ubuntu può utilizzare una versione live su CD o chiavetta USB.

    Tra gli aggiornamenti si possono citare:

    Non è stato introdotto il display manager Mir, che slitta di 12 mesi almeno. Sembra che in questa versione sia stato corretto il problema della copia dei file via gvfs.

    Da segnalare la comparsa dell’indicatore del linguaggio della tastiera sulla barra del menu da cui è possibile richiamare le funzioni relative e la mappa caratteri.

    Come al solito, questa versione verrà supportata per i prossimi 9 mesi, arrivederci al 17 aprile 2014 con la 14.04 LTS Trusty Tahr.

  • SELinux

    SELinuxAmmettiamolo: la maggior parte di noi disabilita SELinux come prima azione quando installa un server ex novo.

    Selinux viene visto come una rottura di scatole, che non fa funzionare le cose che installiamo. A parziale discolpa dei SysAdmin va detto che SELinux non è esattamente intuitivo (sto parlando di livello di intuitività di un SysAdmin) e spesso lo si percepisce come quello che sta tra un problema e la soluzione dello stesso.

    Con l’aumentare degli attacchi è bene iniziare a considerare l’opzione di (ri)abilitare SELinux, magari partendo dai server meno critici.

    Da punto di vista della sicurezza, il vantaggio di SELinux è che le sue policy non sono facilmente modificabili dall’utente o da un applicativo e permettono un controllo molto più granulare dei normali attributi di lettura/scrittura/esecuzione di *NIX. Inoltre SELinux applica delle policy obbligate: in un normale sistema *NIX un utente può fare chmod 777 della propria home directory, mentre se sono attive delle opportune policy di SELinux lo stesso utente potrebbe non riuscire a farlo anche se è proprietario della directory ed ha i permessi di scrittura.

    SELinux è un argomento complesso e articolato, di seguito viene solamente grattata la superficie con un esempio di implementazione su CentOS 6.4, tenendo ben presente che nella sicurezza non esiste un singolo silver bullet, ma una buona sicurezza è sempre frutto di varie azioni coordinate.

    (altro…)

  • Il caso Hetzner

    HetznerOggi pomeriggio Hetzner, il servizio che ospita anche il server su cui gira Siamo Geek, ha avvisato che alcuni dei suoi server sono stati compromessi.

    Secondo le prime analisi, sarebbe stata trafugata una parte del database degli utenti utilizzati per collegarsi al sistema di gestione dei server, sono state pubblicate anche delle FAQ in merito.

    La compromissione sarebbe stata causata da una backdoor creata da un programma che gira in RAM e non modifica gli eseguibili. Ricorda qualcosa questa definizione? Da qualche decennio lo chiamiamo virus e da qualche decennio lo combattiamo con una famiglia di programmi nota come “antivirus”, quei programmi che si caricano all’avvio e tengono d’occhio il sistema per impedire che altri programmi facciano quello che non dovrebbero.

    Ecco che chi si credeva al sicuro solo perché usava un determinato sistema operativo e un metodo basato sulle checksum dei binari si scopre improvvisamente vulnerabile ad un attacco portato con una delle più vecchie forme di malware.

    Probabilmente (ma è un’ipotesi azzardata) Selinux avrebbe potuto mitigare il danno, oppure l’ha mitigato. Sto facendo un po’ di test sulla mia pelle (il server casalingo) con Selinux, appena ho qualcosa di concreto arriva un articolo.

    Nel frattempo, giova ancora una volta ricordare che nessuno è al sicuro per il solo fatto di utilizzare un sistema operativo piuttosto che un altro.

  • Backdoor per Apache

    Sucuri ha analizzato una variante di malware battezzata Linux/Cdorked.A che colpisce Apache nei server gestiti tramite cPanel.

    In questo caso si tratta di una backdoor attivata tramite la sostituzione del file /usr/local/apache/bin/httpd (il programma vero e proprio di Apache) con uno infetto. Per rendere più difficile la rimozione del file compromesso, httpd viene marcato come immutabile.

    (altro…)

  • CentOS 6 lento a partire con VMware

    Se si utilizzano le ultime versioni dei tool di VMware per Linux, i sistemi virtualizzati con CentOS potrebbero presentare dei forti ritardi al boot.

    Dal momento che non ho macchine Linux sui VMware 5.1 che ho in giro, mi sono accorto di questo problema quando ho attivato l’installazione dei tool tramite i repository yum.

    (altro…)

  • CentOS 5.9

    CentOSÈ disponibile la versione 5.9 di CentOS.

    Chi ha abilitato il repository continuous release ha già ricevuto tutti gli aggiornamenti negli scorsi giorni.

    Tra le novità, la nuova versione di ant e java-openjdk.

    È disponibile come alternativa il pacchetto di installazione della nuova versione di rsyslog (rsyslog5), anche se la vecchia versione 3 (rsyslog) viene installata di default.

    Sono stati aggiunti i driver nativi per il sistema di virtualizzazione Hyper-V di Microsoft.

    Il pacchetto samba3x è ora basato su samba 3.6, che include NTLM2 e un nuovo printer server.

    Ulteriori dettagli sono disponibili nelle note di rilascio.

  • Decommissionare un server in hosting

    Può capitare di dover decommissionare un server Linux in hosting presso un fornitore a cui non abbiamo l’accesso fisico o di cui non possiamo verificare l’avvenuta cancellazione, se si tratta di una macchina virtuale.

    Quanto segue parte dal presupposto che i dati scritti sul disco tali siano e che non sia possibile leggere il dato scritto precedentemente, quindi se in una posizione c’è scritto 99, gli scrivo sopra 00 quello che leggo è sempre e solamente 00, il 99 è andato.

    (altro…)

  • Malware solo per Windows?

    Una delle storielle più false che si raccontano tra loro i fan di sistemi operativi desktop o server non-Windows è che il malware esista solamente su Windows.

    Di recente è stato scoperto un rootkit per Linux che aggiunge un IFRAME ai web server basati su nginx.

    CrowdStrike ha analizzato il malware, che colpisce il kernel 2.6.32-5, l’ultima versione distribuita da Debian Squeeze.

    Il rootkit sembra stato creato ex-novo, non sembra essere una ricompilazione di qualcosa di esistente e sembra di origine russa (come nginx).

    La persistenza del rootkit dopo il reboot è garantita da un processo che verifica ogni tre minuti /etc/rc.local e controlla se contiene il comando

    insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko

    la cui presenza viene però nascosta, come dettagliato nell’articolo di CrowdStrike.

    Non è ancora chiaro come avvenga la prima installazione del malware, che richiede privilegi di root. L’analisi della qualità del codice suggerisce che chi l’ha scritto potrebbe non avere le capacità di scrivere un proprio sistema di privilege escalation locale. (via F-Secure)

  • Ubuntu 12.10 Quantal Quetzal

    Secondo appuntamento del 2012 per la release di Ubuntu, la 12.10 Quantal Quetzal.

    Questa release segue una versione Long Term Support (LTS ) supportata per 5 anni anziché i normali 18 mesi, quindi alcuni potranno decidere di non aggiornare.

    A parte alcuni aspetti di interfaccia utente, sono stati aggiornati alcuni software, tra cui:

    • Linux 3.5
    • Grub2 con il supporto UEFI completo di una firma elettronica generata da Microsoft
    • Python versione 3, sebbene la versione 2 sia ancora supportata
    • Unity 6.8
    • Schermata di login che supporta il collegamento RDP verso un altro computer
    • LibreOffice 3.6.1.2
    • Gimp 2.8

    (altro…)

  • Mail server in IPv6

    Questo articolo spiega come passare in IPv6 un mail server Linux con Postfix, Amavisd-new e Dovecot.

    Il sistema di partenza è un Linux con il dual stack IPv4/IPv6 attivo e funzionante con un indirizzo pubblico IPv4 e uno IPv6. Anche il sistema di posta elettronica è perfettamente funzionante in IPv4 con le ultime versioni dei programmi indicati sopra installati da sorgente, non da pacchetto della distribuzione Linux. Ciò perché con IPv6 è sempre meglio avere le ultime versioni, anche se la maggior parte delle istruzioni che seguono dovrebbero funzionare anche con le versioni distribuite nei pacchetti standard.

    Continua a leggere

  • Tunneling IPv6 di HE con Linux CentOS

    Nota aggiunta il 30/9/2013: a questa soluzione è da preferire quella descritta in un articolo successivo con pfSense e KVM.

    (alcune parti sono state modificate dopo la pubblicazione)

    Questo articolo spiega come impostare un tunnel IPv6 con Linux CentOS 5 configurato come gateway, NAT e firewall di una LAN.

    Lo scenario è il seguente: un router ADSL con IPv4 pubblico collegato ad un Linux che fa da NAT/firewall per la LAN. In questo esempio eth0 è l’interfaccia WAN con un IPv4 pubblico /29 e eth1 è l’interfaccia LAN con un IPv4 /24.

    Alla fine della procedura la classe /64 di IPv6 pubblici con reverse DNS potrà essere utilizzata per assegnare indirizzi pubblici ai dispositivi IPv6 in LAN, incluso il gateway Linux.

    (altro…)