Operazioni da fare sul server

Mettiamo a posto il Firewall:

# echo 1 >/proc/sys/net/ipv4/ip_forward
# iptables -t nat -A POSTROUTING -o $EXTIP -j MASQUERADE
# iptables -A FORWARD -s 10.254.254.0/24 -j ACCEPT
# iptables -A FORWARD -d 10.254.254.0/24 -j ACCEPT
# iptables -A INPUT -p tcp –dport 1194 -j ACCEPT

Installazione:

# rpm -Uhv http://apt.sw.be/redhat/el5/en/x86_64/rpmforge/RPMS/rpmforge-release-0.3.6-1.el5.rf.x86_64.rpm
# yum -y update
# yum -y install openvpn
# cd /etc/openvpn/
# cp /usr/share/doc/openvpn-2.2.0/sample-config-files/server.conf .
# mkdir -p /etc/openvpn/easy-rsa/keys
# cd /etc/openvpn/easy-rsa
# cp -rf /usr/share/doc/openvpn-2.2.0/easy-rsa/2.0/* .
# chmod o+x,g+x clean-all build-* vars pkitool whichopensslcnf inherit-inter list-crl revoke-full sign-req

configuriamo /etc/openvpn/easy-rsa/vars (utile per la creazione della CA e dei certificati per Server/clients)

export KEY_COUNTRY=”IT”
export KEY_PROVINCE=”ZN”
export KEY_CITY=”City”
export KEY_ORG=”MyOrg”
export KEY_EMAIL=”admin@server.com“

creiamo CA, certificati per server e di 1 client

# . ./vars
# ./clean-all
# ./build-ca
# ./build-key-server $NAMESERVER
# ./build-dh
# ./build-key client1

Creiamo il file di config per il server: /etc/openvpn/server.conf

daemon
proto tcp-server
port 1194
mode server
tls-server
dev tun

server 10.254.254.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push “route 10.254.254.0 255.255.255.0″
push “redirect-gateway”
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
ca ca.crt
cert $NAMESERVER.crt
key $NAMESERVER.key
dh dh1024.pem
script-security 2
verb 4

Muoviamo le chiavi costruite

# cd keys/
# mv ca.* dh1024.pem $NAMESERVER.* /etc/openvpn/

Facciamo partire il demone sul server e poi ci dedichiamo al client

# service openvpn start

Operazioni da fare sul client (es. Ubuntu)

Copiamo le chiavi sul client:

# aptitude install openvpn
# scp root@$IPSERVER:/etc/openvpn/ca.crt /etc/openvpn/ca.crt
# scp root@$IPSERVER:/etc/openvpn/easy-rsa/keys/client1.crt /etc/openvpn/client.crt
# scp root@$IPSERVER:/etc/openvpn/easy-rsa/keys/client1.key /etc/openvpn/client.key

Creiamo il file di conf client.conf

vi /etc/openvpn/client.conf

pull
tls-client
dev tun
proto tcp-client
remote $IPSERVER 1194
resolv-retry infinite
nobind
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
;log-append openvpn.log
verb 4

Facciamo partire il client (attenzione al parametro config: davanti ci sono due trattini, WordPress li visualizza come uno solo)

# openvpn –config /etc/openvpn/client.conf

Se il ping al 10.254.254.1 dal client ha esito positivo il tunnel funziona.

Post from: blog of { marco siviero DOT org };

Installazione di OpenVPN su CentOS 5.7

le ultime scelte di Canonical, la mamma di Ubuntu, hanno fatto storcere il naso a molte persone, me compreso.  l’adozione di Unity ad esempio è emblematica: puntare su una interfaccia grafica obiettivamente bruttina, piena di bug e per nulla innovativa sta facendo migrare gli utenti verso altri lidi. la scelta di far uscire 2 versioni all’anno di Ubuntu è quantomeno discutibile: le nuove releases dovrebbero uscire quando sono pronte e hanno delle novità serie da proporre agli utenti, non perchè è giunto il mese di aprile o ottobre.

capitolo GUI: il solito caos che regna da anni (questo è un discorso che vale per tutte le distribuzioni Linux): ci sono molte alternative: KDE, Gnome, Unity, XFCE, etc ma nessuna, a mio avviso, è davvero bella graficamente, veloce ed innovativa.  sono quasi tutte anacronistiche, erano accettabili 10 anni fa, non adesso ad un passo dal 2012; Mac OS X e persino Windows 7 sono sotto questo lato anni luce avanti. se solo si riuscisse ad unire gli sforzi e creare un’unica interfaccia veramente innovativa Linux potrebbe guadagnare moltissimi utenti, rubandoli a Windows.

capitolo bug: mi pare che i problemi negli ultimi anni siano aumentati drasticamente (sarà perchè hanno l’obbligo di far uscire le releases a tempo prestabilito e non riescono a testare per bene prima il tutto?): ho sempre e dico sempre, avuto problemi da risolvere ad ogni uscita, ad esempio la sospensione/ibernazione ad ogni release mi ha sempre creato problemi (ancora adesso per far funzionare la sospensione devo lanciare uno script che dà un ‘pm-suspend‘, altrimenti nel modo standard mi ritorna al desktop), per non parlare di tante piccole anomalie  con cui fare i conti ogni giorno.

segue screenshot del crash di ieri durante normale navigazione web e con interfaccia Unity + Docky:

capitolo lentezza: trovo che nelle ultime 2 versioni il sistema sia più lento, meno reattivo, avevo ed ho una configurazione in RAID 1 software con LVM e trovo che già per aprire un Text Editor vuoto da quando clicco sull’ icona a quando la finestra viene aperta, passano, a volte, n secondi con la macchina scarica: inaccettabile. ovviamente ho reinstallato più volte, sempre partendo da situazioni pulite (no upgrade) ma spesso la lentezza è incredibile.

in definitiva, penso che la strada presa da Canonical sia senza uscita, stanno andando verso un muro, dovrebbero invertire la rotta e prendere un’altra strada cercando di innovare veramente (potrebbero ad esempio concentrarsi nel creare una GUI nuova ed innovativa, risolvendo prima gli n problemi che il nudo sistema obiettivamente denuncia). mi viene da pensare che investano molto poco in termini di risorse umane ed economiche. facciamo il paragone con Android (comparazione che ci può stare in quanto è sempre un Linux), in pochi anni ha avuto uno sviluppo tale che lo ha portato a giocarsela alla pari (come interfaccia, funzionalità, velocità) con un mostro sacro come iPhone, che dominava incontrastato il mercato della telefonia. Linux ha molte potenzialità, questo è evidente, necessità però che qualcuno investa in maniera importante per farlo diventare davvero una alternativa succulenta ai due mostri commerciali Mac OS X e Windows 7, Canonical può farlo?

cos’era Ubuntu 7 anni fa?    un sistema operativo per quelli che volevano provare Linux

cos’era Ubuntu 4 anni fa?    un’ alternativa ancora un po’ difficile da usare per chi non voleva più usare Windows

cos’è Ubuntu oggi?                un sistema operativo che è diventato facile da usare rimanendo però quello di 7 anni fa

Post from: blog of { marco siviero DOT org };

Ubuntu 11.10 Oneiric Ocelot: veloce declino della (ex) distribuzione Linux più diffusa?

dovreste avere un output di questo tipo:

# uname -r
3.0.0-0300-generic

Post from: blog of { marco siviero DOT org };

Linux kernel 3.0.0 con driver proprietario Nvidia? installiamolo in 5 minuti su Ubuntu 11.04 Natty

5 GB di Spazio disco (compreso il S.O.)

1 GB di Ram (senza SWAP in quanto sono virtualizzati da OpenVZ)

1 IP statico

2 Mbps di banda

Costo: 9.90€/mese

Test svolti:

Ping a maya.ngi.it (server di gioco online)

100 packets transmitted, 100 received, 0% packet loss, time 99034ms

rtt min/avg/max/mdev = 27.377/28.205/35.813/0.925 ms

Disco I/O (dd if=/dev/zero of=test bs=64k count=16k conv=fdatasync):

Test download da kernel.org:

4.90 MB/s

Test Upload dalla macchina Tiscali:

CPUs rilevate (2 con queste caratteristiche):

processor : 0
vendor_id : AuthenticAMD
cpu family : 16
model : 2
model name : Quad-Core AMD Opteron(tm) Processor 8356
stepping : 3
cpu MHz : 2294.250
cache size : 512 KB
fpu : yes
fpu_exception : yes
cpuid level : 5
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 syscall nx mmxext fxsr_opt rdtscp lm 3dnowext 3dnow constant_tsc nonstop_tsc pni cx16 popcnt lahf_lm extapic altmovcr8 abm sse4a misalignsse
bogomips : 4588.50
TLB size : 1024 4K pages
clflush size : 64
cache_alignment : 64
address sizes : 36 bits physical, 48 bits virtual
power management: ts ttp tm stc 100mhzsteps hwpstate [8]

tutto sommato, visto il prezzo, un buon entry level. La macchina si può accendere, riavviare e spegnere da pannello di controllo, inoltre viene fornito anche il software di gestione web Webmin.

Post from: blog of { marco siviero DOT org };

prova su strada del Server Virtuale Base Tiscali

installazione sui sistemi Debian-like: aptitude install timeout

esempio d’uso: timeout 2 df

se per esempio vogliamo killare con un signal 9 un df bloccato da un NFS dopo due secondi

c’è la possibilità anche di scegliere con quale segnale uccidere il processo utilizzando l’opzione -s

Post from: blog of { marco siviero DOT org };

timeout, un comando poco conosciuto

il P2P (Peer-To-Peer) utilizzato per scambiarsi file (il)legalmente sbarca sui dispositivi mobili, agevolato dalle tariffe flat garantite dagli operatori (che hanno comunque un massimale in termini di traffico) che permettono di stare agganciati alle rete tutto il giorno anche dallo smartphone con una spesa tutto sommato accessibile.

le reti di condivisione utilizzate da questo client sono BitTorrent e Gnutella.

link: Frostwire

Post from: blog of { marco siviero DOT org };

P2P su rete mobile? si, su Android

Facendo una copia di tutti i files, con un live cd Linux in un altro disco virtuale, mi sono poi dovuto confrontare con la creazione del nuovo MBR.

Vi sono due possibili soluzioni:

1. far partire un cd d’installazione di Windows e scegliere al boot l’opzione ‘R’ e una volta che si è in modalità CLI si dà un ‘fdisk /MBR’ o  ‘fixmbr’
2. usare lo stesso live cd Linux che vi ha permesso di copiare tutto usando banalmente quando ha finito di copiare un ‘ms-sys -m /dev/<XXX>’

io ho scelto la seconda opzione, inutile dire che dopo una copia di questo genere serve, da Windows, un file system check e una deframmentazione completa, perchè il sistema è si funzionante ma non ottimizzato.

link progetto ms-sys

Post from: blog of { marco siviero DOT org };

gestiamo l’ MBR (Master Boot Record) di Windows

esso ci permette di valutare, incollando l’output di “lspci -n”, se la scheda madre della macchina in questione, con tutti i suoi controllers, chipsets, schede PCI, ecc sono compatibili con Debian, da quale versione del kernel di questa sono supportati e che modulo usano.

Inoltre, possiamo anonimamente far inserire la nostra macchina nel loro DB, facendo crescere il sito, inserendo marca e modello della scheda madre che abbiamo controllato.

link: Device driver check & report

Post from: blog of { marco siviero DOT org };

verifichiamo se l’ HW di una macchina è compatibile con Debian

Munin è il software che fa per voi.

infatti con lui (presente nei repositories di Debian/Ubuntu) è possibile graficizzare velocemente qualsiasi cosa si possa esprimere con dei numeri.

installarlo è semplicissimo: si usa il buon ‘aptitude install munin’, che si occupa delle dipendenze e lo installa, poi via Apache (configurandolo perchè vada a leggere con un alias o virtual host, la directory /var/www/munin) si visualizza la pagina che il software ha creato: finito, Munin sta già graficizzando usando gli scripts di default.

dopo pochi minuti via web avremo i grafici che riguardano CPU, Ethernet, Load Average, Mysql queries e molti altri.

crearne di personalizzati da subito è semplicissimo: si copia la struttura da uno già in servizio e si modifica a piacimento, ecco che avremo creato il nostro custom graph. è possibile scrivere scripts in qualsiasi linguaggio.

possibilità di graficizzare un cluster di macchine, di avere delle soglie di avvertimento per farsi avvertire via mail/syslog o script esterno sono solo alcune delle features di questo ottimo programma scritto in PERL.

veramente completo e subito operativo.

se lo volete vedere in azione : Munin live

Post from: blog of { marco siviero DOT org };

monitoriamo la nostra macchina con i grafici, semplicemente e velocemente

i programmi che elenco qui sotto sono utili per mettere sotto stress CPU, RAM, HD, facendo quindi emergere eventuali problemi HW.

POLIVALENTI:

stress : test per CPU, RAM, I/O,  HD (c’è nel repository dei sistemi Debian like) – User Interface: CLI

esempio d’uso: ./stress -t 10 –cpu 8 –io 4 –vm 2 –vm-bytes 256M  -d 8

-

Phoronix Test Suite : tantissimi i tests / benchmark disponibili – User Interface: CLI / GUI

SPECIFICI:

Memtest86+ : il migliore per testare la RAM

-

IOzone : Benchmark per HD

-

Mersenne Prime : test per CPU

-

Bonnie++ : test I/O Filesystem

Post from: blog of { marco siviero DOT org };

stress tests per sondare l’affidabilità di un sistema *nix / Linux

Gmote permette di trasformare il vostro telefono in un telecomando che gestisce le funzioni multimediali del vostro PC utilizzando il Wi-Fi.

il funzionamento è quello che da una vita permette ad Internet di esistere: il concetto server-client: è sufficiente dotare il vostro PC del server (possibile il download  per Linux, Mac OS 10.4+, MS Windows) e scaricare dal market sul Gphone il client.

dopo aver settato l’IP del server sull’ Android, non vi resterà che navigare all’interno delle directories che avrete, nel frattempo, abilitato allo start del server.

l’ho provato su Ubuntu 9.04 (dopo il downgrade da Ubuntu 9.10) e devo dire che sono rimasto piacevolmente stupito, il software è sicuramente migliorabile, ma è all’altezza delle aspettative.

Post from: blog of { marco siviero DOT org };

telefono con Android come O.S.? provate il telecomando che gestisce il vostro PC

lo so, non si dovrebbe, è concettualmente sbagliato abbandonare una release nuova, fiammante, per tornare a quella obsoleta piena di ragnatele, ma ho dovuto farlo.

ebbene sì: sono tornato ad Ubuntu 9.04 Jaunty dopo che avevo upgradato alla 9.10 Karmic Koala.

il motivo può essere considerato frivolo: Ubuntu 9.10 sul mio pc desktop non mi gestiva più la sospensione e io ne faccio un uso sfrenato.

i dettagli: dopo aver fatto l’upgrade dalla 9.04 mettendo l’OS  in sospensione esso rimaneva ‘appeso’, schermo nero e cursore lampeggiante (d’obbligo un reset fisico).

decido allora di reinstallare in maniera pulita la 9.10 e riprovo la sospensione: questa volta la macchina chiude la sessione mettendo tutti i dati in RAM e spegne il monitor, peccato che alla riaccensione il monitor resti spento e non vi sia modo di accedere al pc.

nulla di anomalo nel log /var/log/pm-suspend.log e non può essere un problema di kernel in quanto ne ho provati 3.

sotto il link al forum Ubuntu dove se ne parla:

9.10 suspend/hibernate issue

nel 9.04, ovviamente, la sospensione funziona benissimo…

Post from: blog of { marco siviero DOT org };

Ubuntu 9.10: cronaca di un downgrade annunciato (causa suspend K.O.)

Failed to fetch URL  https://dl-ssl.google.com/android/repository/repository.xml, reason:  HTTPS SSL error. You m
ight want to force download through HTTP in the settings.

spuntando la relativa opzione (‘Force https://… sources…”) nei Settings si ha il medesimo errore. la soluzione si ottiene, invece, settando una variabile d’ambiente a ‘true’, così:

$ GDK_NATIVE_WINDOWS=true ./android update sdk

ora funzionerà.

Post from: blog of { marco siviero DOT org };

Android SDK Manager su Ubuntu 9.10 e i problemi di download dell’SDK

[Linus Torvalds @ Japan Linux Symposium 23 October 2009]

Post from: blog of { marco siviero DOT org };

Linus Torvalds & Windows 7….

Chi volesse però la comodità dello schermo grande e della tastiera hardware consiglio questo sito, dove troverete tutte le applicazioni installabili per il vostro Android, con tutto quello che può essere utile: screenshots, valutazione, commenti e quant’ altro.

fateci un giro: androlib.com

Post from: blog of { marco siviero DOT org };

telefono con Android come O.S.? cercate le applicazioni del market via web

non tutti conoscono però anche gli ‘shortcuts’ di /etc/crontab, parole che con una @ davanti ci permettono di velocizzare l’inserimento dell’operazione da eseguire ottenendo il medesimo risultato.

sopra tutti il comando che lancerà uno script/comando al boot della macchina.

@reboot gira allo startup della macchina
@yearly gira una volta all’anno: equivale a “0 0 1 1 *”.
@annually come @yearly
@monthly gira una volta ala mese: equivale a “0 0 1 * *”.
@weekly gira una volta alla settimana: equivale a “0 0 * * 0″.
@daily gira una volta al giorno: equivale a “0 0 * * *”.
@midnight come @daily
@hourly gira una volta ogni ora: equivale a “0 * * * *”.

quindi nel caso volessimo far partire uno script al boot dell’ O.S. dovremmo scrivere nell’ /etc/crontab una riga di questo tipo

@reboot root /root/bin/script_for_boot &>/dev/null

è  evidente che se utilizziamo molti scripts da cron e usiamo solo questa tecnica di inserimento nel crontab avremo la macchina molto carica a mezzanotte ed ad ogni ora (es 13:00, 14:00, 15:00 ecc), quindi è consigliabile usarli solo quando si hanno pochi scripts da inserire. per tutti gli altri casi è preferibile la sintassi convenzionale.

discorso a parte, ovviamente, per il @reboot.

Post from: blog of { marco siviero DOT org };

gli shortcuts del crontab per pilotare cron

il gruppo anti-sec. che con i tools “0pen0wn” o “0penPWN” avrebbe scoperto un exploit riguardante l’accesso SSH delle macchine su cui gira una versione vecchia di OpenSSH.

uno 0Day pericolosissimo che permetterebbe ai crackers di impadronirsi del server con i privilegi di root.

essendo uno 0Day nessuna patch è disponibile (non si puo’ curare un malato se non si conosce che malattia ha), l’unica cosa da fare è aggiornare OpenSSH all’ultima versione.

oppure dormire preoccupati.

per approfondire andate qui.

Post from: blog of { marco siviero DOT org };

0Day per OpenSSH? scoperto un exploit per entrare come root?

mettiamo il caso che abbiate un ADSL con IP dinamico e un server in housing con IP statico sul quale gira un SSH daemon su porta convenzionale (TCP 22), esso sarà, molto probabilmente, preda di continui scan da parte di hackers (o presunti tali) per provare ad accedere trovando l’accoppiata user-password tramite scripts con dizionari. lo so, sono ottimisti.

grazie a Country IP Blocks, che permette con pochissimo sforzo di selezionare i paesi da escludere/includere dal vostro server, fornendovi i risultati in 7 formati (tra cui anche .htaccess, CIDR, IP range) potremo, inserendo in /etc/hosts.allow gli ips abilitati, decidere di permettere l’accesso solo a classi italiane, o meglio, se le riconosciamo tutte, anche quelle del solo provider che ci fornisce la connettività. avendo cura di inserire in /etc/hosts.deny:

sshd: ALL

e in /etc/hosts.allow tutti quelli a cui consentiamo l’accesso in questo formato:

sshd: 22.44.55.0/255.255.255.0
sshd: 33.55.66.0/255.255.255.0

così facendo sarete liberi di collegarvi alla vostra macchina utilizzando le classi concesse al vostro ISP e a tutti gli altri sarà negato l’accesso.
N.B. : Per fare questo ‘gioco’ il demone SSH deve essere stato compilato con il supporto a TCP wrappers.

Post from: blog of { marco siviero DOT org };

bloccare l’accesso al server ad intere nazioni con “Country IP Blocks”

generalmente ‘du‘ è utilizzato per scovare files obsoleti, sovradimensionati, temporanei che possono/devono essere cancellati.

quindi si utilizza n volte ‘du‘ fino a scovare quello che si può cancellare.

c’è però un’alternativa dal nome ncdu (ncurses du).

questo software, che utilizza NCurses, ci permette (dopo una scansione iniziale della durata variabile a seconda del mount point che vogliamo analizzare) di navigare all’interno delle directories mostrando per ognuna lo spazio occupato, di ordinarlo in base al size o al nome, di ottenere ulteriori info e, volendo, di cancellare direttamente la directory.

lo trovate pacchettizzato per numerose distribuzioni Linux fra cui: Debian, Ubuntu, Gentoo, Fedora ed altre. è inoltre disponibile anche su sistemi BSD come FreeBSD, OpenBSD.

Post from: blog of { marco siviero DOT org };

un “Disk Usage” (du) grafico

tenendo presente che ‘S‘ sarà il nostro server, e ‘C ‘ il client (Vtun può agire indifferentemente sia come C che come S) proviamo a creare questo tunnel criptato, che ci potrà essere utile per far comunicare due reti differenti utilizzando Internet.

Questi gli IPs che usiamo nell’esempio:

S: 192.168.200.1 (Debian 5 – Lenny)
C: 192.168.200.2 (Ubuntu 9.04  – Jaunty Jackalope)

andremo a creare il device tun0 utilizzando come protocollo TCP.

partiamo.

S,C: (fate attenzione agli apici del comando echo che non sono visualizzati correttamente da WordPress)

# aptitude install vtun ; modprobe tun && echo -e ‘# VTUN\ntun\n’ >> /etc/modules

S: editare /etc/vtund.conf

options {
type stand;
port 5000;
timeout 60;
ppp /usr/sbin/pppd;
ifconfig /sbin/ifconfig;
route /sbin/ip;
firewall /sbin/iptables;
}

default {
type tun;
proto tcp;
compress lzo:9;
encrypt yes;
keepalive yes;
speed 0;
stat yes;
}

tunneltest {
encrypt yes;
compress yes;
password supersecret;
type tun;
device tun0;
up {
ifconfig “%% 192.168.200.1 pointopoint 192.168.200.2″;
route “add -net 192.168.200.0 gw 192.168.200.2″;
};
down{
ifconfig “%% down”;
};

}

S: editare /etc/default/vtun

RUN_SERVER=yes
SERVER_ARGS=”-P 5000″

C: editare /etc/vtund.conf

options {
type stand;
port 5000;
timeout 60;
ppp /usr/sbin/pppd;
ifconfig /sbin/ifconfig;
route /sbin/ip;
firewall /sbin/iptables;
}

default {
type tun;
proto tcp;
compress lzo:9;
encrypt yes;
keepalive yes;
speed 0;
stat yes;
}

tunneltest {
encrypt yes;
compress yes;
password supersecret;
type tun;
device tun0;
up {
ifconfig “%% 192.168.200.2 pointopoint 192.168.200.1″;
route “add -net 192.168.200.0 gw 192.168.200.1″;
};
down{
ifconfig “%% down”;
};

}

C: editare /etc/default/vtun mettendo l’IP pubblico del server al quale connettersi

CLIENT0_NAME=tunneltest
CLIENT0_HOST=123.123.123.123

quasi finito, ora serve aprire su S la porta 5000 TCP al C che si deve connettere: mentre che avete i comandi di iptables fra le dita dovreste anche aggiungere le rules fra i due hosts via tunnel (classe 192.168.250.0/24). ora:
S,C:

# /etc/init.d/vtun restart

S,C:

adesso dando un ‘ifconfig‘ o ‘ip a‘ dovreste vedere UP un certo ‘tun0‘.

ovviamente questo è solo un esempio d’uso di Vtun, le opzioni su cui giocare sono molteplici, se vi ho incuriosito e volete saperne di più leggete la documentazione.

Post from: blog of { marco siviero DOT org };

[HOW TO] VPN con Vtun fra Debian 5 e Ubuntu 9.04

PTY allocation request failed on channel 0
stdin: is not a tty

non vi preoccupate, la soluzione è pressochè immediata :

operazioni da fare sulla domU:

inserite in /etc/fstab

none /dev/pts devpts defaults 0 0

poi:

mkdir /dev/pts
mount /dev/pts

ora provate a riloggarvi di nuovo in SSH su questa domU e il problema non si ripresenterà.
in pratica non abbiamo fatto altro che creare il device per gli pseudoterminali, pts appunto.

Post from: blog of { marco siviero DOT org };

Debian Lenny su Xen e il “PTY allocation request failed on channel 0 stdin: is not a tty” al login SSH

1. # aptitude install leafnode
2. editare /etc/news/leafnode/config (a fine post vi è un config funzionante, basta un solo server da cui sincronizzare le news)
3. aggiungere in /etc/hosts.allow la classe della vostra LAN in questo formato (premettendo che la Vs. LAN sia una 10.2.1.0/24):
leafnode: 10.2.1.
4. # /etc/init.d/openbsd-inetd restart
5. editare /etc/cron.d/leafnode così:

# Cron entries for Leafnode
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
*/6 * * * * news if [ -x /etc/news/leafnode/do-fetch-news ]; then /etc/news/leafnode/do-fetch-news; fi >/dev/null 2>&1
19 3 * * * news texpire -v >/dev/null 2>&1

6. # mkdir /var/lock/news ; chown news.news /var/lock/news

7. # su news -c  ‘/usr/sbin/fetchnews -v’

8. collegatevi con il vostro client NNTP preferito impostando solo l’indirizzo del server e dopo aver scaricato la lista dei Newsgroups disponibili fate le vostre sottoscrizioni: Leafnode si occuperà di scaricare tutti i messaggi relativi, sincronizzandosi ogni (6) minuti con i vari servers impostati.

file /etc/news/leafnode/config :

## /etc/news/leafnode/config [from http://marcosivieroDOTorg/blog]
## Unread articles will be deleted after this many days if
## you don’t define special expire times. Mandatory.
expire = 65

## This is the NNTP server leafnode fetches its news from.
## You need read and post access to it. Mandatory.
server = NEWS.XXXXXXXXXXXX.COM
##
## All the following parameters are optional
##

## Important and recommended setting:
## Fetch only a few articles when we subscribe a new newsgroup. The
## default is to fetch all articles.
## As leafnode forgets the article numbers of its upstream server when
## a group is marked as uninteresting, and later marked interesting
## again, you may end up downloading ALL articles from the upstream
## in that group. So uncomment and adjust this line:
initialfetch = 3000

## Debugging setting:
##
## This MUST be accompanied by syslog.conf changes!
## ————————————————
## Make sure you’ve also read the TROUBLESHOOTING section in README.
##
## The higher, the more output will be logged – note the debugging
## output is copious in any case, so leave this at 0 for normal use,
## and set to 1, 2 or 3 only for debugging.
# debugmode = 3

## I have free access to my news server. If you don’t have, comment out
## the following two lines and change them accordingly.
##username = USER
##password = PWD

## By default, leafnode only serves connections from addresses in the
## local networks and drops those from outside. An IPv4 address is
## considered local if it is within the networks (IP/netmask) of the local
## interfaces. An IPv6 address is considered local if it is site-local,
## link-local or the loopback address (::1).
##
## You can enable remote access by doing:
## 1. enabling access for single static IPs (or subnetworks) through
## your super server (xinetd, tcpserver) or, if the service is wrapped by
## tcpd, hosts.allow/hosts.deny configuration,
## 2. disabling access for all other hosts (default to deny),
## 3. testing that “deny” works, to avoid abuse of your server,
## 4. uncommenting this option, capitalizing the “strangers” subword and
## setting the value to 42.
##
## WARNING: ENABLING THIS OPTION IS DANGEROUS. YOU AGREE TO BE LIABLE
## FOR ALL ABUSE OF YOUR SERVER WHEN THIS OPTION IS ENABLED.
## IF ANYTHING ABOUT ITEMS 1. TO 3. ABOVE IS UNCLEAR, DO NOT ENABLE THIS!
## IF YOU ARE NOT FAMILIAR WITH ACCESS CONTROL, OR YOUR CLIENTS ARE ON
## DYNAMIC IPS, YOU MUST NOT ENABLE THIS. (You can use other, authenticated,
## methods of access instead, for instance SSH tunnels.)
##
# allowstrangers = 0

## Standard news servers run on port 119, reserved for NNTP, so that’s
## the default port fetchnews wants to connect to. If your ISP’s news
## server (or other “upstream”) does not listen on this standard port,
## you can set the “port” option. Note that it is only relevant for
## fetchnews, for leafnode, set the port in your inetd.conf, xinetd.conf
## file or tcpsvd/tcpserver command line, whatever is relevant for your
## system. Leafnode does not currently support SSL.
## Give “port” a numeric value, example:
# port = 9119

## If you want to guarantee that the stdout/stderr are line buffered
## (GNU libc sets them to full buffering if they are redirected to
## files), then set this:
# linebuffer = 1

## This is another news server which stores some groups that are not
## available on the first one. You can define username, password and port
## for each server separately.
##server = NEWS.YYYYYYY.COM
##nopost = 1
# username = xenu
# password = secret

## This is a news server which does not understand the
## “LIST NEWSGROUP news.group” command. For this reason, we don’t try to
## download newsgroups descriptions when getting new newsgroups. This is
## achieved by putting “nodesc = 1″ somewhere behind the server
## line.
##server = NEWS.ZZZZZZZZZ.COM
##nopost = 1
# nodesc = 1

## Here we have another news server which has a very slow connection. For
## that reason, we wait a full minute before we give up trying to connect.
## The default is 10 seconds.
##server = NEWS.NNNNNNNN.COM
##nopost = 1
# timeout = 60

## Disable the updating of the active file unless specifically requested
## in order to minimise network usage as much as possible. The active
## file can be updated manually with the “-f” option to fetchnews.
# server = even.slower.example.com
# noactive = 1

## And this is a news server you only want to pull news from, but never
## post to. You can also use this as a workaround if you do not have posting
## permission on the server while it still greets you with a 200 code.
## The default is: nopost = 0
# server = lurk-only.example.com
# nopost = 1

## And this is a news server you only want to post to, but never
## fetch messages from. If set, noactive = 1 is also assumed.
## The default is: noread = 0
# server = post-only.example.com
# noread = 1

## And this is a news server with broken XOVER. Forbid XOVER,
## leafnode will use XHDR. XHDR may be slower or faster than XOVER,
## depending how many of the maxlines/minlines, maxbytes, maxage
## and similar options.
## The default is: noxover = 0
# server = post-only.example.com
# noxover = 1

## The post_anygroup parameter affects posting and makes leafnode skip
## the check if the newsgroup is carried by the respective server.
## Use this on servers that allow only posting, but no “GROUP” commands.
## Note: do not enable unless you know you may post to that server, your
## postings might end up in the failed.postings directory otherwise.
# server = post-only.example.com
# post_anygroup = 1

## This shows how a server is configured that only has specific news
## groups. Note that this parameter is a PCRE, not a wildmat! See
## pcre(3), pcrepattern(3) or pcre(7), depending on your PCRE version.
## IMPORTANT: you must run fetchnews -f to make changes to this
## option effective.
# server = cnews.corel.com
# only_groups_pcre = corel\.

## Another option related to and depending on this only_groups_pcre option
## is relevant for posting; if set, ALL groups in a Newsgroups: header
## of a cross-posting will must match before the article is posted to
## the server. If unset, ANY group that match
es allows the post.
# only_groups_match_all = 1

## Non-standard expire times (glob(7) wildcard constructs possible)
#
# groups too big to hold articles 20 days:
# groupexpire comp.os.linux.* = 5
#
# very interesting, hold articles longer:
# groupexpire any.local.newsgroup = 100
#
# archive this group (fetchnews uses the global expire to figure the
# maxage, but texpire will skip it):
# groupexpire my.archived.group = -1

## Never fetch more than this many articles from one group in one run.
## Be careful with this; setting it much below 1000 is probably a bad
## idea.
maxfetch = 1500

## If you want to use leafnode like an offline newsreader (e.g. Forte
## Agent) you can download headers and bodies separately if you set
## delaybody to 1. In this case, fetch will only download the headers
## and only when you select an article, it will download the body.
## This can save a huge amount of bandwith if only few articles are really
## read from groups with lots of postings.
## This feature works not very well with Netscape, though (which is not
## a fault of Leafnode).
# delaybody = 0

## If you have configured delaybody mode and your newsreader doesn’t
## cope with articles changing their numbers but not their Message-ID
## such as Knode, then try setting this switch to 1, which
## will make fetchnews keep the article number.
## You’ll have to switch the article body cache off though in your
## newsreader.
# delaybody_in_situ = 0

## To avoid spam, you can select the maximum number of crosspostings
## that are allowed in incoming postings. Setting this below 5 is
## probably a bad idea. The default is unlimited crossposting.
maxcrosspost = 4

## If you suffer from repeatedly receiving old postings (this happens
## sometimes when an upstream server goes into hiccup mode) you can
## refuse to receive them with the parameter “maxage” which tells the
## maximum allowed age of an article in days. A value of 0 indicates that
## no checking should be performed. The default maxage is 10 days.
## WARNING: maxage can be overridden by expire! See the clamp_maxage
## parameter below.
maxage = 30

## By default, maxage is limited to groupexpire (if applicable) or
## expire (otherwise). On some rare occasions, this limit may be
## undesirable. To avoid this maxage manipulation, uncomment this line:
clamp_maxage = 0

## maxlines will make fetch reject postings that are longer than a certain
## amount of lines.
# maxlines = 100

## minlines will make fetch reject postings that are shorter than a certain
## amount of lines.
# minlines = 2

## maxbytes will make fetch reject postings that are larger
maxbytes = 50000

## timeout_short determines how many days fetch gets a newsgroup which
## has been accidentally opened. The default is two days.
timeout_short = 7

## timeout_long determines how many days fetch will wait before not getting
## an unread newsgroup any more. The default is seven days.
timeout_long = 15

## timeout_active determines how many days fetch will wait before re-reading
## the whole active file. The default is 90 days.
timeout_active = 30

## timeout_client determines how many seconds of inactivity to allow before
## a client is forcibly disconnected. The default is 15 mins (900s). Optional.
timeout_client = 1800

## timeout_fetchnews determines how many seconds fetchnews will wait for
## a server reply before assuming the server has become wedged.
## The default is 5 mins (300s). Optional.
timeout_fetchnews = 180

## timeout_lock determines how long the leafnode programs retry to
## obtain the lock file. The default is 5 seconds.
## Note you can use the LN_LOCK_TIMEOUT environment variable to override
## this.
# timeout_lock = 900

## If you want to have your newsreader score/kill on Xref: lines, you might
## want to uncomment this.
create_all_links = 1

## If you want to filter out certain regular expressions in the header,
## create a “filterfile” (how this is done is explained in the README)
## and set
# filterfile = /etc/leafnode/filters

## Note that filtering usually means HEAD and BODY are downloaded
## separately, so fetchnews has to wait for the packets TWICE to travel
## to the server and back. If you have a fast link with high latencies
## (for example a DSL line with interleaving or a satellite link), it
## may be faster to request header and body in a single command and
## discard the body. Note that the filter applies to the header only in
## either case because PCRE matching is expensive.
##
## If you have one of the high-latency high-throughput links and have
## enough free traffic left or a flat rate (no per-MByte billing), uncomment
## this:
# article_despite_filter = 1

## If your newsreader does not supply a Message-ID for your postings
## Leafnode will supply one, using the hostname of the machine it is
## running on. If this hostname is not suitable, this parameter can be
## used to override it. Do not use a fantasy name, it may interfere with
## the propagation of your messages. Most modern newsreaders do provide
## a Message-ID.
hostname = MYHOSTNAME.SERVER.TLD

## You can also override the From: header address shown in placeholder
## articles. It should be the news administrator’s mail address.
newsadmin = postmaster@MYHOSTNAME.SERVER.TLD

## If in your local Usenet hierarchy, posting unencoded 8-bit data in
## headers is condoned, uncomment this option to allow this. 8-bit data
## in headers is officially illegal, although the header character set
## may change to UTF-8 soon.
# allow_8bit_headers = 1

Post from: blog of { marco siviero DOT org };

[HOW TO] installare Leafnode NNTP Server su Linux Debian 5 (Lenny)

nulla di più semplice:

# fdisk /dev/sdc

Command (m for help): b
Reading disklabel of /dev/sdc1 at sector 64.
BSD disklabel command (m for help): p

8 partitions:
# start end size fstype [fsize bsize cpg]
a: 1* 1959* 1958* 4.2BSD 2048 16384 28552
b: 1959* 2220* 261* swap
c: 1* 91201 91200* unused 0 0
d: 2220* 6136* 3916* 4.2BSD 2048 16384 28552
e: 6136* 91201 85065* 4.2BSD 2048 16384 28552

con fdisk usare l’opzione ‘b’ e poi la classica ‘p’ per vedere le partizioni BSD

ora diamoci un ordine mentale con
# cat /proc/partitions

….
8 33 732572001 sdc1
8 37 15728640 sdc5
8 38 2097152 sdc6
8 39 31457280 sdc7
8 40 683288929 sdc8

e quindi montiamo in read only (il kernel deve essere stato compilato con l’opzione UFS file system support (read only) nel menù Miscellaneous filesystems):

mkdir /mnt/freebsd{1,6,7,8}
mount -t ufs -o ro,ufstype=ufs2,nodev,nosuid /dev/sdc1 /mnt/freebsd1
mount -t ufs -o ro,ufstype=ufs2,nodev,nosuid /dev/sdc6 /mnt/freebsd6
mount -t ufs -o ro,ufstype=ufs2,nodev,nosuid /dev/sdc7 /mnt/freebsd7
mount -t ufs -o ro,ufstype=ufs2,nodev,nosuid /dev/sdc8 /mnt/freebsd8

N.B: /dev/sdc5 (la lettera ‘b‘ dell’output di fdisk) è swap area.

se voleste mettere il tutto dentro /etc/fstab:

/dev/sdc1 /mnt/freebsd1 ufs auto,ro,ufstype=ufs2,nodev,nosuid 0 0
/dev/sdc6 /mnt/freebsd2 ufs auto,ro,ufstype=ufs2,nodev,nosuid 0 0
/dev/sdc7 /mnt/freebsd3 ufs auto,ro,ufstype=ufs2,nodev,nosuid 0 0
/dev/sdc8 /mnt/freebsd4 ufs auto,ro,ufstype=ufs2,nodev,nosuid 0 0

Post from: blog of { marco siviero DOT org };

montare partizioni con filesystem UFS2 (FreeBSD) su Linux

e visto che ci siamo possiamo anche fornire come utente di default ‘root‘ (ammesso che il demone sshd dall’altra parte sia configurato per accettare connessione dal super utente) o qualsiasi altro user.

per farlo basta aggiungere nel vostro ~/.ssh/config o più pericolosamente in /etc/ssh/ssh_config :

Host *
User root
GlobalKnownHostsFile /dev/null
StrictHostKeyChecking no

applicabile sia con Linux che con Mac OS:
siate consapevoli che se lo utilizzate perderete parte della sicurezza che ssh client e server mettono a disposizione.

DISCLAIMER: il blog ed il sottoscritto declinano qualsiasi responsabilità riguardo l’uso consapevole ed inconsapevole di questi settings.

Post from: blog of { marco siviero DOT org };

SSH: eliminare la domanda sull’autenticità della chiave dell’ host e settare il default user

Post from: blog of { marco siviero DOT org };

anche questo è Linux

unico requisito: la CPU deve avere il supporto INTEL-VT o AMD-V (a seconda abbiate Intel o AMD) per verificare basta un

egrep '(vmx|svm)' --color=always /proc/cpuinfo

se ne siete provvisti e avete Ubuntu 8.10 Intrepid potete seguire questa semplice guida e costruirvi una o più macchine virtuali che, se volete, possono partire al boot e quindi rimanere ‘nascoste’ finchè non deciderete di aprire una sessione SSH o di fiondarvi dentro utilizzando  ‘Virtual Machine Manager’ che gestisce graficamente le VMs installate e permette via VNC di avere una console su di esse.
Gli O.S. supportati da virt-install (gestibili poi con interfaccia grafica o con virsh -c qemu:///system):

• Red Hat Enterprise Linux 2.1, 3, 4, 5
• CentOS 5,
• Fedora 5,6,7
• Suse Linux Enterprise Server 10.x
• Debian 4.0 (Etch) -  Debian Lenny
• Ubuntu dapper, feisty, gutsy, hardy, intrepid
  
• MS Windows XP – 2000 – 2k3 – Vista
• Solaris 9,10
• FreeBSD 6
• OpenBSD 4
• MS DOS
• Novell Netware 4, 5, 6

esempi per installare O.S.:

• WINDOWS XP: sudo virt-install –hvm –connect qemu:///system -n xpsp2 -r 512 -f windows.img -s 18 -c xp.iso –vnc –os-type windows –os-variant winxp
• Debian Etch: sudo virt-install -n debianEtch –hvm -r 128 –vnc -f debian.img -s 5 -c debian-40r5-amd64-CD-1.iso
• Ubuntu 8.10: sudo ubuntu-vm-builder kvm intrepid –arch ‘amd64′  –domain domain.org –mem ’256′  –rootsize ’4096′  –swapsize ’1024′  –kernel-flavour ‘generic’  –hostname ‘kvm-ubuntu’  –ip 192.168.32.7 –mask 255.255.255.0 –net 192.168.32.0  –bcast 192.168.32.255  –gw 192.168.32.1 –dns 192.168.32.126  –addpkg vim ssh  –mirror ‘http://archive.ubuntu.com/ubuntu’  –components ‘main’  –name ‘useru’  –user ‘useru’  –pass ‘kvm’ –libvirt qemu:///system

buona virtualizzazione / tests.

Post from: blog of { marco siviero DOT org };

macchine virtuali: KVM su Ubuntu 8.10 Intrepid

questo demone D-
Bus si occuperà, in futuro, dei devices biometrici che riconoscono le impronte digitali.

grazie alla libreria libfprint, che si interfaccerà a basso livello con il il reader ottico, potremo, grazie a pam_fprint (PAM=Pluggable Authentication Module), fare il login sulla nostra macchina Linux utilizzando, all’avvio del desktop environment, la nostra impronta digitale.

Post from: blog of { marco siviero DOT org };

Fprintd: il demone Linux per la lettura delle impronte digitali (la biometria avanza)

il software, open source, è sviluppato dalla Intel.

presente già pacchettizzato in Ubuntu Intrepid (8.10, Beta 1 ad oggi) ma non in Hardy (8.04), in Debian è disponibile dal ramo Testing (Lenny). ovviamente, è possibile installarlo compilando i sorgenti che trovate a questa pagina.

Post from: blog of { marco siviero DOT org };

misuriamo la latenza del nostro sistema su Linux

esempi più comuni di utilizzo:

find / -iname “*.conf” | cpio -pv /mnt/prova # copio i files .conf in /mnt/prova

find . -iname “*.sh” | cpio -o -H tar -F shell_script.tar # creo un tar  dei files .sh

cpio -it -F shell_script.tar # lista contenuto del file tar

cpio -i -F shell_script.tar # restore dei files nel tar

find . -print -depth | cpio -ov important.cpio # creo cpio dei files trovati da find

cpio -idvm < important.cpio # restore dal file precedente con il original modification time

cpio -icuvd <  /dev/fd0 # restore dei files dal floppy alla dir corrente

…per tutto il resto date un “info cpio“ da shell.

Post from: blog of { marco siviero DOT org };

Linux – *nix e il comando cpio

talvolta può essere comodo, per praticità e velocità, utilizzare sshfs per avere a disposizione il file system remoto senza dover imbattersi a configurare firewall HW, software e quant’altro.

I passi da seguire:
LATO SERVER:

1. # aptitude install fuse-utils libfuse2 sshfs
2. # modprobe fuse

LATO CLIENT:

1. # aptitude install sshfs
2. # sshfs <username>@<host>:/qualsiasi/path/remoto /mnt/vostro_path

se volete inserirlo nell’ /etc/fstab:

sshfs#root@11.22.33.44:/home /mnt/vostro_path fuse user,ro 0 0

et voilà: in /mnt/vostro_path vi troverete le directories remote.

Post from: blog of { marco siviero DOT org };

montare un file system remoto attraverso sshfs con Debian, Ubuntu