blog of { marco siviero DOT org };

i motivi per escludere (o permettere) solo a certe classi di accedere ai vostri servers possono essere numerosi: attacchi, paranoia, motivi legali, tests, ecc.

mettiamo il caso che abbiate un ADSL con IP dinamico e un server in housing con IP statico sul quale gira un SSH daemon su porta convenzionale (TCP 22), esso sarà, molto probabilmente, preda di continui scan da parte di hackers (o presunti tali) per provare ad accedere trovando l’accoppiata user-password tramite scripts con dizionari. lo so, sono ottimisti.

grazie a Country IP Blocks, che permette con pochissimo sforzo di selezionare i paesi da escludere/includere dal vostro server, fornendovi i risultati in 7 formati (tra cui anche .htaccess, CIDR, IP range) potremo, inserendo in /etc/hosts.allow gli ips abilitati, decidere di permettere l’accesso solo a classi italiane, o meglio, se le riconosciamo tutte, anche quelle del solo provider che ci fornisce la connettività. avendo cura di inserire in /etc/hosts.deny:

sshd: ALL

e in /etc/hosts.allow tutti quelli a cui consentiamo l’accesso in questo formato:

sshd: 22.44.55.0/255.255.255.0
sshd: 33.55.66.0/255.255.255.0

così facendo sarete liberi di collegarvi alla vostra macchina utilizzando le classi concesse al vostro ISP e a tutti gli altri sarà negato l’accesso.
N.B. : Per fare questo ‘gioco’ il demone SSH deve essere stato compilato con il supporto a TCP wrappers.

lo spazio su disco è un annoso problema con cui tutti gli utenti *nix / Linux devono fare i conti.

generalmente ‘du‘ è utilizzato per scovare files obsoleti, sovradimensionati, temporanei che possono/devono essere cancellati.

quindi si utilizza n volte ‘du‘ fino a scovare quello che si può cancellare.

c’è però un’alternativa dal nome ncdu (ncurses du).

questo software, che utilizza NCurses, ci permette (dopo una scansione iniziale della durata variabile a seconda del mount point che vogliamo analizzare) di navigare all’interno delle directories mostrando per ognuna lo spazio occupato, di ordinarlo in base al size o al nome, di ottenere ulteriori info e, volendo, di cancellare direttamente la directory.

lo trovate pacchettizzato per numerose distribuzioni Linux fra cui: Debian, Ubuntu, Gentoo, Fedora ed altre. è inoltre disponibile anche su sistemi BSD come FreeBSD, OpenBSD.

servono pochi passi per instaurare un tunnel fra due macchine usando il comodo tool Vtun, presente in entrambe le distribuzioni con la versione 3.0.2-1.1.

tenendo presente che ‘S‘ sarà il nostro server, e ‘C ‘ il client (Vtun può agire indifferentemente sia come C che come S) proviamo a creare questo tunnel criptato, che ci potrà essere utile per far comunicare due reti differenti utilizzando Internet.

Questi gli IPs che usiamo nell’esempio:

S: 192.168.200.1 (Debian 5 – Lenny)
C: 192.168.200.2 (Ubuntu 9.04  – Jaunty Jackalope)

andremo a creare il device tun0 utilizzando come protocollo TCP.

partiamo.

S,C: (fate attenzione agli apici del comando echo che non sono visualizzati correttamente da Wordpress)

# aptitude install vtun ; modprobe tun && echo -e ‘# VTUN\ntun\n’ >> /etc/modules

S: editare /etc/vtund.conf

options {
type stand;
port 5000;
timeout 60;
ppp /usr/sbin/pppd;
ifconfig /sbin/ifconfig;
route /sbin/ip;
firewall /sbin/iptables;
}

default {
type tun;
proto tcp;
compress lzo:9;
encrypt yes;
keepalive yes;
speed 0;
stat yes;
}

tunneltest {
encrypt yes;
compress yes;
password supersecret;
type tun;
device tun0;
up {
ifconfig “%% 192.168.200.1 pointopoint 192.168.200.2″;
route “add -net 192.168.200.0 gw 192.168.200.2″;
};
down{
ifconfig “%% down”;
};

}

S: editare /etc/default/vtun

RUN_SERVER=yes
SERVER_ARGS=”-P 5000″

C: editare /etc/vtund.conf

options {
type stand;
port 5000;
timeout 60;
ppp /usr/sbin/pppd;
ifconfig /sbin/ifconfig;
route /sbin/ip;
firewall /sbin/iptables;
}

default {
type tun;
proto tcp;
compress lzo:9;
encrypt yes;
keepalive yes;
speed 0;
stat yes;
}

tunneltest {
encrypt yes;
compress yes;
password supersecret;
type tun;
device tun0;
up {
ifconfig “%% 192.168.200.2 pointopoint 192.168.200.1″;
route “add -net 192.168.200.0 gw 192.168.200.1″;
};
down{
ifconfig “%% down”;
};

}

C: editare /etc/default/vtun mettendo l’IP pubblico del server al quale connettersi

CLIENT0_NAME=tunneltest
CLIENT0_HOST=123.123.123.123

quasi finito, ora serve aprire su S la porta 5000 TCP al C che si deve connettere: mentre che avete i comandi di iptables fra le dita dovreste anche aggiungere le rules fra i due hosts via tunnel (classe 192.168.250.0/24). ora:
S,C:

# /etc/init.d/vtun restart

S,C:

adesso dando un ‘ifconfig‘ o ‘ip a‘ dovreste vedere UP un certo ‘tun0‘.

ovviamente questo è solo un esempio d’uso di Vtun, le opzioni su cui giocare sono molteplici, se vi ho incuriosito e volete saperne di più leggete la documentazione.

Vcast è il noto servizio con integrato un PVR (Personal Video Recorder) che permette di registrare i vostri p

rogrammi televisivi preferiti.

se volete gestire Faucet PVR con le vostre registrazioni e possedete un palmare/PDA con sistema operativo Windows Mobile 5 o 6, potete scaricare l’ottimo VCast Mobile, un software ideato da Alfredo Morresi.

almeno 3 i motivi per provarlo:

• interfaccia molto gradevole
• possibilità di impostare nuove registrazioni Faucet, di editarle e cancellarle
• licenza GPL (v2)

questo il link del progetto su SourceForge.

scalabile, flessibile e facile da usare.

Opsview è tutto questo ed altro.

Nagios e Zabbix sono i prodotti di riferimento per tenere sotto controllo lo stato delle macchine, ma a questi si aggiunge di diritto anche Opsview che permette, incorporando l’ottimo motore di Nagios, di utilizzare i plugins di quest’ultimo.

caratteristiche di rilievo:

• interfaccia utente semplice ed immediata
• include Nagios, Net-SNMP e RRDtool
• SNMP polling e trap.
• monitoring, configurazione e notifiche APIs
• web framework estendibile

Il server può girare su Linux e Solaris, mentre può monitorare, Linux, Windows, AIX, Solaris e tutti gli O.S. più diffusi.

per chi lo vuole provare al volo c’è una immagine VMware disponibile sul sito ufficiale, oppure si può scaricare per Cent OS, RHEL, Debian/Ubuntu già pacchettizzata.