GiorgioRavera.it

il mio blog: ciò che penso e faccio, trucchi di programmazione, linux, reti e molto altro

Con questa guida intendo spiegare all’utente debian come configurare un server mail basato su Postfix (http://www.postfix.org). Postfix è un MTA abbastanza sicuro e di recente sviluppo, molto semplice da usare e per alcuni è considerato il successore di sendmail per altro troppo complicato da gestire e con noti problemi di sicurezza.
More

Buongiorno a tutti.

Oggi vi vorrei parlare dell’utilizzo di Apache come proxy.
Una delle principali utilità di questa funzione è quella di tenere isolati in una rete privata e protetta da firewall i server importanti e utilizzare una sola macchina esposta a internet per incanalare su di essa tutti gli accessi.

In un contesto anche casalingo ipotizziamo di avere una macchina linux che esporta verso l’esterno le porte 80 e 443. Ipotizziamo inoltre di avere nella nostra rete anche altri oggetti come ad esempio Home Assistant (in esecuzione sulla medesima macchina ma su porta differente) e magari anche un NAS che vogliamo controllare da remoto.
Ricordo che per sicurezza è sempre meglio usare VPN per accedere a server con contenuti sensibili.

More

Mi sono recentemente imbattuto in una problematica alquanto singolare ovvero interfacciare diverse macchine con server proxy basati su certificato.

In questa piccola guida vi indicherò come procedere per il corretto funzionamento su linux e su NAS QNAP (ma è estendibile anche ad altri sistemi).

More

Buongiorno a tutti.
Consideriamo un server Linux Debian (ma anche Ubuntu o derivati) in cui sia attivo un server Apache configurato con SSL (https) il quale offre servizio di SVN mediante appunto http + webdav.
Nonostante le funzioni di checkout, update e commit possano risultare funzionanti, può capitare che compaia il seguente errore:

Unexpected HTTP status 502 ‘Bad Gateway’ on ‘/REPOS/!svn/rvr/42/Test’

nel caso vengano effettuate operazioni di:

  • svn copy
  • svn rename

Per ovviare al problema è necessario configurare il modulo header del server apache inserendo la seguente stringa nel file /etc/apache2/mods-available/headers.conf (se il file non esiste, createlo)

RequestHeader edit Destination ^https http early

Fatto ciò basta abilitare il modulo header e riavviare apache:

root@server:/etc/apache2/mods-available# a2enmod headers
Enabling module headers.
To activate the new configuration, you need to run:
service apache2 restart
root@server:/etc/apache2/mods-available# service apache2 restart
root@server:/etc/apache2/mods-available#

Qualora l’accesso al server svn sia fatta senza usare SSL (cosa sconsigliatissima!) tale problematica non dovrebbe emergere.

Alla prossima!

Buongiorno,

oggi vi segnalo un comando che può rivelarsi molto utile nel caso abbiate un cd/dvd o un iso di Windows e non sappiate che versione sia.

More

Buongiorno a tutti.

Dopo quasi un anno ho upgradato sul mio server (Intel NUC i5) Citrix Xenserver da 6.2 a 7.0.

Nel dubbio ho fatto un installazione pulita dopo aver esportato le VM.

Note:

  • Installazione OK. rapida e senza troppe complicazioni.
  • Migrazioni VM OK: nulla da rilevare
  • Xen-Tools: reinstallati su macchine debian based. pfsense continua ad avere le sue aggiornate alla 6.2 (verranno aggiornati anche li?). problemi invece su FreePBX: installazione OK ma da XenCenter viene richiesto di installare anche Management Agent… anche se apparentemente funziona tutto.

Il sistema è stabile e funziona bene.

Da notare che sia Xen Orchestra, sia Xen Center hanno subito un restyle.

Alla prossima!

Buongiorno a tutti.

Dopo avervi già parlato di come registrare un generico dispositivo SIP sul modem Telecom per chi ha un contratto Fibra Ottica dove la voce vine gestita in VOIP vorrei segnalarmi il modo di interfacciare un centralino Asterisk al centralino in esecuzione sul modem. La versione del firmware del modem Technicolo AG Plus di riferimento è AGVTF_5.2.1.

More

Un saluto a tutti.

vi propongo una soluzione ad un problema che avevo alcuni giorno fa.

Ho 2 server, entrambi linux. Su uno dei due ho configurato LDAP per autenticare gli utenti, l’altro è semplicemente client.

Mediante il tool nslcd gli utenti configurati nel database LDAP accedono ad entrambe le macchine. Mediante samba la cosa è leggermente più complessa.

Siccome non avevo intenzione di gestire la cosa a livello di dominio nt, ho configurato entrambe le macchine con un samba standard indicando solamente come metodo di autenticazione LDAP anziché tdbsam.

# If you are using encrypted passwords, Samba will need to know what
# password database type you are using.
passdb backend = tdbsam
passdb backend = ldapsam:ldaps://server
ldap suffix = dc=domain,dc=local
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
ldap admin dn = cn=admin,dc=domain,dc=local
#ldap ssl = start tls
ldap ssl = no
ldap passwd sync = yes

fatto questo si riavvia samba.

Si noti che la connessione verso il server ldap è realizzata mediante SSL per garantire maggiore sicurezza.

Non è finita qui la cosa. Samba verifica che il server LDAP gestisca utenti appartenenti al proprio SID. Sarà quindi necessario impostare sul secondo server lo stesso SID del primo in cui è in esecuzione LDAP.

I comandi per leggere e settare il SID sono i seguenti:

net getlocalsid

net setlocalsid

In questo modo entrambi i server avranno lo stesso SID che corrisponderà al SID presente nelle entry relative agli utenti di LDAP.

Si può verificare che samba riesca ad accedere alla lista di utenti presenti su LDAP mediante il comando:

pdbedit -L -v

 

Se tutto è andato a buon fine su entrambi i server potrete accedere mediante le medesime credenziali.

Nei giorni scorsi mi sono cimentato nella reinstallazione del mio server, una macchina virtuale Debian/GNU Linux in esecuzione su xenserver 6.5.

Dopo aver configurato diverse cose mi sono accorte che se spegnevo o riavviavo il server, questo rimaneva congelato. Dopo un indagine accurata ho notato un eccessivo utilizzo di risorse da parte di ClamAV.

Il problema era dovuto al fatto che la poca ram messa a disposizione durante la procedura di installazione e configurazione (512 MB) obbligava ClamAV a sfruttare in modo esagerato la partizione di swap al punto che ne impediva lo smontaggio. Ciò portava ad un attesa infinita nel riavvio del server.

Aumentando a 1024 MB (1 GB) la memoria a disposizione della VM il problema non si è più presentato.

 

E’ possibile abilitare un numero massimo di connessioni telnet contemporanee ad una linux machine.
Per farlo basta modificare il file /etc/securetty aggiungendo, in coda al file, quanto segue:

# 10 root telnet connection
pts/0
pts/1
pts/2
pts/3
pts/4
pts/5
pts/6
pts/7
pts/8
pts/9

Al riavvio del sistema sarete in grado di eseguire fino a 10 shell telnet con credenziali root.
Potete variare a piacere il numero.