Abuso di utenti con privilegi elevati

Una delle norme più virtuali dei SysAdmin *NIX e’ l’uso di sudo al posto di su - e della shell interattiva di root. Tutti dicono di farlo e pochi lo fanno per una mera ragione di praticità (e poi non è simpatico digitare continuamente la propria password sotto gli occhi della gente).

Chi amministra *NIX lo fa spesso con un’interfaccia a riga di comando, quindi l’utilizzo della shell con privilegi di root è veramente quasi sempre dedicata ad attività amministrative.

Gli amministratori di Windows fanno anche di peggio. Leggi tutto “Abuso di utenti con privilegi elevati”

Fine del supporto di Windows Server 2003

Windows Server 2003Oggi termina il supporto di Windows Server 2003.

Il patch tuesday di oggi sarà l’ultimo con gli aggiornamenti di Windows Server 2003.

Dopo questi aggiornamenti Windows Server 2003 sarà vulnerabile a problemi scoperti per altre piattaforme che potrebbero interessare anche quella versione del sistema operativo.

I problemi maggiori riguardano naturalmente i 2003 esposti a Internet. Leggi tutto “Fine del supporto di Windows Server 2003”

Ridurre lo spazio di WSUS

Molti lamentano che WSUS occupa troppo spazio su disco.

Se l’opzione di utilizzare wsusutil movecontent non è praticabile oppure si desidera proprio togliere di mezzo un po’ di file, allora si può seguire questa procedura. Leggi tutto “Ridurre lo spazio di WSUS”

IBM esce dal mercato x86

Il via libera delle autorità regolatorie di USA ed Europa al passaggio di proprietà della divisione server x86 a Lenovo sancisce l’uscita definitiva di IBM dal mercato dell’hardware x86.

Era il 12 agosto 1981 quando IBM presentava il suo PC modello 5150, 33 anni dopo Big Blue abbandona il mercato x86.

IBM aveva già ceduto la sua divisione PC a Lenovo a fine 2004, ma aveva deciso di tenere per sé la parte server x86. Oggi è arrivato l’OK per il passaggio anche della divisione server, che verrà perfezionata entro il prossimo 1 ottobre.

Secondo IT Candor, il mercato dei server x86 è gestito grosso modo per un quarto da HP e un quarto da Dell; dietro queste due marche al terzo posto c’era IBM che non arrivava al 6% lo scorso anno.

Lenovo dovrà darsi da fare per risalire la china, dovrà dimostrare di avere sia un prodotto affidabile a prezzo concorrenziale sia, soprattutto, un’assistenza post vendita efficace e celere almeno tanto quanto HP e Dell. Se un PC può stare fermo una settimana, non è certo il caso di un server x86.

Heartbleed e la PA italiana

by heartbleed.comHeartbleed ha decisamente rubato la scena al fine del supporto di Windows XP.

Secondo le analisi, non solo metterebbe a rischio i server, ma anche i client; nel dubbio, meglio cambiare le password e, se possibile, riemettere i certificati SSL/TLS.

Dal momento che Siamo geek ha un database (scaricabile) dei siti della pubblica amministrazione italiana utilizzato per fare delle statistiche settimanali, ho pensato di utilizzarlo per vedere quanti server utilizzati PA sono vulnerabili.

Queste sono le metodologie e i risultati. Leggi tutto “Heartbleed e la PA italiana”

Errore DFS se si prepara Windows 2003 per l’upgrade

Se si esegue il Server Migration Tool su un Windows Server 2003 per la migrazione del dominio a Windows Server 2012 può capitare che il programma visualizzi un errore in cui viene segnalato che il servizio DFS Replication (replica DFS in italiano) non è attivo.

Purtroppo l’errore è bloccante, ma il DFS Replication non esiste su Windows Server 2003, in quanto è strato introdotto a partire da Windows Server 2003 R2.

Inutile tentare di attivare repliche DFS su SYSVOL a caso, si tratta di un errore nello script PowerShell ed è lì che va applicata la soluzione.

Il problema risiede nel file C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Baseline Configuration Analyzer 2\Models\SBSMigrationPrep.ps1; se per vostra sfortuna state operando su un Windows in una lingua diversa dall’inglese il path deve essere modificato di conseguenza, ma il nome del file è sempre quello.

Leggi tutto “Errore DFS se si prepara Windows 2003 per l’upgrade”

Decommissionare un server in hosting

Palazzo di Festo / Phaistos palacePuò capitare di dover decommissionare un server Linux in hosting presso un fornitore a cui non abbiamo l’accesso fisico o di cui non possiamo verificare l’avvenuta cancellazione, se si tratta di una macchina virtuale.

Quanto segue parte dal presupposto che i dati scritti sul disco tali siano e che non sia possibile leggere il dato scritto precedentemente, quindi se in una posizione c’è scritto 99, gli scrivo sopra 00 quello che leggo è sempre e solamente 00, il 99 è andato.

In questo esempio non vengono utilizzati software specifici, ma solamente i tool messi a disposizione dai sistemi base di Linux.

Consideriamo uno scenario un cui c’è un solo disco fisico /dev/sda e un solo file system montato sotto root.

Nel caso di un sistema a cui abbiamo accesso fisico, si possono usare i metodi descritti qui e qui.

Leggi tutto “Decommissionare un server in hosting”

Aggiornare la versione di 2008 R2 senza reinstallare

Può capitare di dover passare ad un livello più alto di licenza di Windows Server; fino a prima di 2008 R2 questo comportava per forza una reinstallazione del sistema.

Con 2008 R2 è ora possibile utilizzare l’utility di Microsoft, quindi pienamente supportata, DISM (Deployment Image Servicing and Management) per elevare il livello di licenza di un’installazione di Windows Server.

DISM è la stessa utility disponibile per eseguire le medesime operazioni sulle installazioni di Windows 7.

Ovviamente per eseguire questa operazione è necessario possedere una chiave di attivazione valida per la versione a cui si vuole passare.

Leggi tutto “Aggiornare la versione di 2008 R2 senza reinstallare”

KRB_AP_ERR_MODIFIED

Portamatite di floppy / Floppy pen holder 7/7Cosa c’è di meglio che iniziare la settimana con un errore del genere da un cliente?

Due server Windows (un 2003 e un 2008), sul 2003 la snap-in Active Directory Users and Computers all’avvio mostra un bell’errore “Nome principale di destinazione scorretto” e non mostra utenti; ovviamente nessuni si può collegare al server.

Negli eventi è loggato un errore ID 4 di Kerberos che così recita:

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server xxxxxxxxx$. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (yyyyyyyyyy), and the client realm. Please contact your system administrator.

Leggi tutto “KRB_AP_ERR_MODIFIED”

ReFS

AntichiLa versione server di Windows 8 supporterà un nuovo tipo di file system: Resilient File System (ReFS).

ReFS è la nuova versione di NTFS, da cui eredita molte caratteristiche. Molte API usate per NTFS potranno essere utilizzate anche per accedere a ReFS per garantire la compatibilità.

ReFS è un file system pensato per lo storage, non è possibile (per ora) avviare Windows 8 server da una partizione ReFS, né è possibile formattare un disco rimovibile con questo formato.

Tutti i valori di ReFS sono espressi in numeri di 64 bit e le strutture dati sono nel formato B+ tree.

Leggi tutto “ReFS”

Quanto è facile rubare i server di un’azienda?

Mucca / CowIl titolo si riferisce al server come servizio, non come hardware: i dati e le configurazioni, non il ferro.

Immaginiamo che un malintenzionato, che chiameremo Dr. No, voglia rubare dati e infrastruttura IT di un’azienda. Il nostro Dr. No potrebbe essere un dipendente infedele, un consulente doppiogiochista o qualsiasi altro losco figuro, la cosa non ha rilevanza ai fini di questa storia.

Al nostro simpatico amico interessano anche i programmi che elaborano i dati: server SQL, Windows Server, web server, mail server, programmi gestionali, eccetera. Il tutto con relative chiavi di attivazione, utenti e configurazioni.

Insomma Dr. No non vuole solamente i vostri dati, ma vuole duplicare la vostra struttura dell’IT.

Anni fa era praticamente impossibile senza furti o effrazioni, ma adesso la tecnologia della virtualizzazione ha cambiato le carte in tavola e lo scenario che segue è possibile indipendentemente dal fatto che sia stata adottata la virtualizzazione nell’azienda vittima.

Leggi tutto “Quanto è facile rubare i server di un’azienda?”

Di quanto spazio abbiamo effettivamente bisogno?

AntichiDovendo allestire il nuovo server casalingo mi sono posto anche il problema dello storage.

All’inizio ho fatto una lista della spesa provvisioria per il mio pusher di hardware quasi con il pilota automatico e ho incluso due dischi da 2 Tb andando sulla scelta più conveniente per sostituire i 4 dischi attuali.

Poi la notte ha portato consiglio.

Ho iniziato ad analizzare il problema partendo dalle necessità piuttosto che da un mero conto di convenienza di euro per byte.

Lo stato attuale dei dischi sul server di casa è

Filesystem            Size  Used Avail Use%
root                  223G   19G  193G   9%
backup tiepido        226G   15G  212G   7%
backup periodico      151G  118G   33G  79%
cazzate varie         147G   62G   86G  42%

Leggi tutto “Di quanto spazio abbiamo effettivamente bisogno?”

Aggiornamento su kernel.org

Peter Anvin ha scritto un messaggio nella mailing list del kernel di Linux per aggiornare sullo stato di kernel.org dopo l’intrusione non autorizzata di questa estate.

Il sito non concederà più l’accesso shell via ssh agli sviluppatori per l’aggiornamento dei sorgenti attraverso i repository di git.

Gli sviluppatori dovranno utilizzare gitolite con delle chiavi ssh. Il vantaggio di gitolite è che, grazie ad alcune feature di ssh, i suoi utenti non sono mappati in utenti veri della macchina ospitante.

L’accesso pubblico al sito dovrebbe essere ripristinato all’inizio di ottobre. (via Mikko Hypponen)

 

Tu usa il mio che io uso il tuo

Con notevole ritardo, questo fine settimana ho finalmente completato la visione del keynote presentato da Steve jobs nell’ultima Apple WWDC su YouTube.
L’ho trovato un po’ sottotono rispetto alle presentazioni viste nei mesi passati, che erano state decisamente di impatto maggiore, nonostante in questo particoalre frangente le novità fossero molte e qualcuna anche interessante.

Tutti ormai sapete che una delle novità presentate è stato iCloud, il sevizio di Apple che consoliderà l’offerta online esistente in un prodotto nuovo e apparentemente più funzionale.
Per mostrare che Apple ha tutti i mezzi per supportare una infrastruttura cloud di questo tipo e con la capacità promessa, proprio negli ultimi minuti di presentazione, Jobs ha mostrato le fasi di costruzione della terza server farm della Azienda, sia all’esterno che all’interno.

In qualche fotogramma che mostra per brevemente un corridoio freddo della farm, ho notato una cosa curiosa che potete anche voi vedere nelle due foto inserite in questo post.
Vi sarete resi conto che nessuno dei server nei rack è un server Apple, ma anzi le mollette di dischi hot-swappable di colore bordeaux ci fanno capire subito che queste macchine sono prodotte da un’altra Azienda californiana abbastanza nota agli addetti al settore.

Sarebbe stato di grande impatto mostrare come anche l’infrastruttura server che sta dietro le quinte dell’offerta consumer di Apple è basata su Mac e MacOS X, non tanto per i fan sfegatati – che per loro definizione rimangono tali indipendentemente che quello che succede – ma piuttosto nei confronti del mercato business.
Il messaggio che passa allo spettatore, a mio parere, è che il Mac va bene per i giochini a casa, ma quando invece il gioco si fa duro e si parla di stabilità del business – e di profitti della Apple – bisogna rivolgersi a una informatica di tipo e marca diversa, forse più seria.
Che il mago del marketing stavolta abbia toppato alla grande?