Purtroppo non è facile stare seduti davanti ad un PC (anche se è un bel iMac) dopo un intervento al ginocchio.

Ma veniamo all’articolo. Forse il titolo non rende l’idea ma l’argomento di oggi risponde a questa domanda: avendo due connessioni ad Internet collegate alla mia Linux box che funge da router, come faccio a gestire il fail di una delle connessioni inoltrando a quella funzionante il traffico?

Per meglio comprende l’articolo, vi consiglio di spulciare velocemente due miei vecchi post:

1. iproute: load balance verso 2 gateway (IMPORTANTISSIMO!)
2. iproute: load balance verso 2 gateway della stessa rete

Rinfrescata la memoria sul routing di Linux, passiamo ad analizzare la logica di funzionamento dello script.

La strada migliore per verificare lo stato di una connessione è inoltrare verso il link qualche pacchetto e verificare che torni indietro una risposta.

Lo script non fa altro che pingare un host o in IP esterno pubblico, raggiungibile ed aperto al ping, attraverso i due link a nostra disposizione, se il ping fallisce tutto il traffico passa all’interfaccia funzionante.

Potete scaricare il file da qui e subito dopo editarlo da root per variare queste impostazioni:

# Frequenza in secondi con cui fare il check delle connessioni
SLEEPTIME=10

# IP o host esterno da pingare per effettuare le prove
TESTIP=www.google.com

# Timeout del ping in secondi
TIMEOUT=2

# Interfacce
EXTIF1=eth1
EXTIF2=eth2

# Indirizzi IP delle interfacce
IP1=192.168.1.7
IP2=192.168.0.7

# Gateway delle interfacce
GW1=192.168.1.1
GW2=192.168.0.1

# Weights del router. Nella mia guida erano entrami ad 1 per fare il round robin delle connessioni:
# Guarda questa riga: ip route add default scope global nexthop via $P1 dev $IF1 weight 1 nexthop via $P2 dev $IF2 weight 1
# Presente nell'articolo http://ideafactory.it/debian/iproute-load-balance-verso-2-gateway.html
W1=1
W2=1

# Nome dei provider utilizzati
NAME1=ngi
NAME2=fastweb

# Numero di ripetizioni di successo o di fallimento prima di cambiare lo stato alla connessione
SUCCESSREPEATCOUNT=4
FAILUREREPEATCOUNT=1


Come potete vedere utilizzo come host esterno da pingare www.google.com che ADESSO risulta raggiungibile tramite ping, vi consiglio di specificare qualche VOSTRO server così siete sicuri che il fail della connessione non sia dovuto al cambio delle regole di firewall dell’host a cui sono diretti i ping.

Io vi consiglio di salvare lo script in /usr/local/bin (ovviamente faccio riferimento a Debian) così sarà presente nel path di sistema senza specificare ogni volta il percorso assoluto per richiamarlo.

Una volta salvato nella directory che preferite vanno settati i permessi giusti:

chmod 755 /usr/local/bin/checkgw

Adesso potete eseguire lo script.

Inizialmente potete NON metterlo in background, così si può verificare il corretto funzionamento ma poi vi consiglio di lanciare lo script in questo modo:

checkgw &

Se volete che lo script venga eseguito all’avvio potete inserirlo in /etc/rc.local.

Spero che con questo articolo sia riuscito ad accontentare molti visitatori di IdeaFactory e vi ricordo che se avete bisogno di soluzioni personalizzate, avanzate, professionali e sempre funzionanti potete contattarmi.

Premetto che non basterà seguire alla lettera ciò che io descriverò per ritrovarsi una black box che una volta installata gestisce la posta fin che morte non vi separi. Dico questo perché un servizio come la posta elettronica va seguito e monitorato e spesso è necessario un sistemista (io [pubblicità progresso gratuita ]) che abbia capacità di problem solving notevoli per far sì che la fruizione del servizio non sia mai interrotta.

Cosa ci occorre per mettere su un servizio di posta elettronica con i fiocchi?

Ecco la lista della spesa:

• Un mail transfer agent (MTA)
• Un server POP3 ed IMAP
• Un validissimo sistema anti-spam
• Un aggiornatissimo sistema anti-virus
• Una moderna webmail
• Tool di corredo

Il miglior MTA? Postfix!

Nel mondo opensource c’è una vasta gamma di server SMTP ma i più famosi ed utilizzati sono:

• Postfix
• Exim
• qmail
• Sendmail

Sendmail

La documentazione di Sendmail è buona, c’è una società che ne cura la parte di servizi ed assistenza a pagamento ed ha un buon numero di adepti alla comunità.

Il file di configurazione di Sendmail è un labirinto in cui è utile solo didatticamente imbattersi. Meno contorti sono le violazioni di sicurezza che da sempre accompagnano Sendmail. E per finire, ciò che fa Sendmail viene svolto meglio da altri.

Si parla di MeTA1 nome in codice di Sendmail X che ha l’obiettivo di realizzare un MTA con specifiche del tutto simili a quelle di Postfix…Postfix c’è gia.

qmail

Sicurezza, sicurezza e sicurezza. Alla base della progettazione di qmail c’è la sicurezza. Nei tempi in cui Sendmail era un vero e proprio colabrodo, Daniel J. Bernstein realizzo qmail.

Obiettivo raggiunto, è sicuro tant’è che ci ha messo anche una taglia. La versione disponibile è la 1.03 uscita nel giugno del lontanissimo (informaticamente parlando) 1998. Da allora nessun aggiornamento, va bene così com’è, forse.

qmail ha dato una lezione a tutti ma alcuni allievi hanno superato il maestro, tant’è che qmail è stato il primo a supportare decentemente il formato Maildir, adesso però la concorrenza ha gia Maildir++ e per renderlo un server SMTP dei giorni nostri vanno applicate infinite patch. La licenza attuale di qmail? Un enigma.

Exim

E’ un MTA. Sicuro e general purpose, è tutto ciò che ci aveva Sendmail desiderava. Si configura con un file di configurazione, c’è solo un demone ed è veloce, molto veloce. Smista alla grande ma la mia descrizione finisce qui perché lo conosco davvero poco. Sorry!

Postfix

Per me Postifx è sua maestà MTA. In tre parole è: sicuro, facile (da amministrare) ed efficiente.

Come per qmail, la progettazione di questo software aveva come obiettivo la sicurezza e Wietse Venema, con circa circa 150k righe di codice, secondo me, ci è riuscito alla grande.

Postfix si compone di diversi programmi (ma meno di qmail), e dispone di un file di configurazione monolitico. Ha un forte accento sulla sicurezza, ma non fino al punto di imporre insolite pratiche di gestione Unix.Postfix segue un approccio vagamente analogo a qmail per quanto concerne la sicurezza ed il team di Sendmail riconosce espressamente Postfix come modello da seguire per la loro prossima release che sostituirà definitivamente Sendmail, MeTA1.

Il risultato impressionante è che Postfix fornisce grande flessibilità e facilità di amministrazione, nonostante il raggiungimento di obiettivi di sicurezza rigorosi. A mio avviso è più efficiente di Exim ed utilizza la stessa quantità di memoria di qmail ma a differenza di quest’ultimo utilizza meno banda perché qmail invia in solo messaggio per sessione SMTP anche se il destinatario è lo stesso host.

Postfix per me è il migliore, ed in questo articolo userò Postfix.

Guardate i risultati del Debian Popularity Contest cliccando di Postfix, vi ho convinto?

Nella prossima puntata scopriremo il miglior server POP3/IMAP…stay tuned!

Molto probabilmente richiamando una URL inesistente o non gestita dall’applicazione che risiede sul nostro server, viene fuori qualcosa del genere:

In base a quanto descritto nell’articolo Modificare l’header di Apache, possiamo variare l’output che mostra le informazioni del server web.

Per non mostrare assolutamente niente, basta editare il file del virtualhost ad esempio /etc/apache2/sites-available/default, ed impostare la direttiva ServerSignature ad Off in questo modo:

ServerSignature Off

Ovviamente va restartato Apache prima di vedere attuata tale modifica.

Quali sono le opzioni di ServerSignature? Eccole:

• Off: Non visualizza niente nel footer
• On: Visualizza le informazioni come specificato in ServerTokens
• On: Visualizza le informazioni come specificato in ServerTokens ed aggiunge il link all’indirizzo e-mail specificato con ServerAdmin

Buon week-end a tutti.

Fatta la breve ma doverosa premessa veniamo al dunque.

Può capitare di ritrovare la propria sessione SSH terminata a causa di timeout per mancato utilizzo, come si risolve tutto ciò? Basta editare il file /etc/ssh/ssh_config (su sistemi Debian based) ed inserire questi parametri:

TCPKeepAlive yes
ServerAliveInterval 5
ServerAliveCountMax 60

Così facendo il client SSH terrà viva la connessione al server e quindi noi possiamo andarci a fare un meritato bagno caldo.

Usiamo molto spesso traceroute e quotidianamente ping, con mtr li abbiamo entrambi e l’utilità è di facile spiegazione.

Spesso capita che il nostro adorato server dedicato non è raggiungibile per problemi di rete dovuti ai molteplici router intermedi, con mtr possiamo monitorare tutti gli hop intermedi e verificare ciò che accade quando li si attraversa.

Visto che è di certo l’ultimo post del 2009, vi aguro un felice anno nuovo!

p.s.: un ringraziamento a Iuri per avermi fatto notare mtr.

Con i driver nVidia precedenti alla release 180.51 andando sul sito di Tim accadeva l’assurdo: il server X si riavviava! Ancor più esilarante è vedere il changelog:

Sarebbe bello sapere cosa provocava il crash, forse Luca Luciani?

Lo uso da tantissimo tempo ma, quando tutta Internet tremava per il bug dei server DNS, sapere che PowerDNS era completamente immune a tale vulnerabilità, ha rafforzato la mia stima verso questo software.

I principali punti di forza di PowerDNS sono:

• Backend per svariati database quali ad esempio MySQL e PostgreSQL
• Facilità di configurazione
• Sicurezza
• Versatilità

Prima di procedere con l’installazione è doveroso illustrare le parti che compongono questo software:

1. pdns-server: il server DNS vero e proprio
2. pdns-backend-*: il backend dove sono memorizzati i dati ad esempio pdns-backend-mysql utilizzerà MySQL per memorizzare i record DNS
3. pdns-recursor: un server necessario se si devono risolvere altri domini Internet oltre a quelli gestiti dal server

Installiamo!

Come sempre facile e veloce:

apt-get install pdns-server pdns-backend-mysql

Si può notare non ho installato il pacchetto pdns-recursor visto che voglio configurare un server DNS che risponda solo alle query per i domini da lui gestiti.

Creiamo un database ed utente su MySQL chiamato pdns a cui diamo tutti i privilegi:

CREATE USER 'pdns'@'localhost' IDENTIFIED BY '<password_utente>';
GRANT USAGE ON * . * TO 'pdns'@'localhost' IDENTIFIED BY '<password_utente>' WITH MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 MAX_UPDATES_PER_HOUR 0 MAX_USER_CONNECTIONS 0 ;
CREATE DATABASE IF NOT EXISTS `pdns` ;
GRANT ALL PRIVILEGES ON `pdns` . * TO 'pdns'@'localhost';

Inizializziamo le tabelle necessarie attraverso il file SQL incluso nel pacchetto Debian:

mysql -u pdns -p pdns < /usr/share/doc/pdns-backend-mysql/mysql.sql

Il database è pronto, inseriamo dei record di prova:

INSERT INTO `domains` (`id`, `name`, `master`, `last_check`, `type`, `notified_serial`, `account`) VALUES
(1, 'ideafactorytest.tld', NULL, NULL, 'NATIVE', NULL, NULL);
INSERT INTO `records` (`id`, `domain_id`, `name`, `type`, `content`, `ttl`, `prio`, `change_date`) VALUES
(1, 1, 'ideafactorytest.tld', 'SOA', 'ns1.ideafactorytest.tld hostmaster.ideafactorytest.tld 0 7200 3600 604800 3600', 3600, 0, 1235466538),
(2, 1, 'ideafactorytest.tld', 'NS', 'ns1.ideafactorytest.tld', 86400, 0, 1235466538),
(3, 1, 'www.ideafactorytest.tld', 'A', '192.168.1.254', 86400, 0, 1235466538),
(4, 1, 'ns1.ideafactorytest.tld', 'A', '192.168.1.254', 86400, 0, 1235466538);

Ovviamente i dati sono di test e vanno personalizzati secondo le proprie esigenze.

Consiglio di utilizzare tool di MySQL per popolare il database come ad esempio phpMyAdmin, in alternativa c’è Poweradmin che è un software scritto in PHP specifico per PowerDNS ma non mi ha convinto per niente.

Torniamo alla configurazione del server DNS.

Editiamo il file /etc/default/pdns e verifichiamo che ci sia:

START=yes

Adesso è il turno di /etc/powerdns/pdns.conf, vi consiglio di editare:

local-address=<ip_server_dns>

Altrimenti PowerDNS si mette in ascolto su tutti gli IP del server.

Ci sono altre opzioni, come l’abilitazione del webserver che consente di vedere le statistiche d’utilizzo.

Il file di configurazione è di semplice interazione quindi consiglio di dare un occhio a tutti i parametri e rimando alla documentazione ufficiale per configurazioni più elaborate.

Infine configuriamo /etc/powerdns/pdns.d/pdns.local:

launch=gmysql
gmysql-host=localhost
gmysql-user=pdns
gmysql-password=<password_scelta>
gmysql-dbname=pdns

Fine. Proviamo:

/etc/init.d/pdns monitor

Se l’output è qualcosa di simile a questo:

Apr 15 17:05:16 This is module gmysqlbackend.so reporting
Apr 15 17:05:16 This is a standalone pdns
Apr 15 17:05:16 UDP server bound to 192.168.1.254:53
Apr 15 17:05:16 TCP server bound to 192.168.1.254:53
Apr 15 17:05:16 PowerDNS 2.9.20 (C) 2001-2006 PowerDNS.COM BV (Aug  9 2008, 23:00:23, gcc 4.1.2 20061115 (prerelease) (Debian 4.1.1-21)) starting up
Apr 15 17:05:16 PowerDNS comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it according to the terms of the GPL version 2.
Apr 15 17:05:16 Set effective group id to 106
Apr 15 17:05:16 Set effective user id to 106
Apr 15 17:05:16 DNS Proxy launched, local port 23998, remote 127.0.0.1:53
Apr 15 17:05:16 Creating backend connection for TCP
% Apr 15 17:05:16 gmysql Connection succesful
Apr 15 17:05:16 About to create 3 backend threads for UDP
Apr 15 17:05:16 gmysql Connection succesful

Significa che PowerDNS si connette a MySQL e la configurazione è andata a buon fine.

Facciamo una query di prova:

host www.ideafactorytest.tld <ip_server_powerdns>

L’output dovrebbe essere:

Using domain server:
Name: <ip_server_powerdns>
Address: <ip_server_powerdns>#53
Aliases:
www.ideafactorytest.tld has address 192.168.1.254

Perfetto!

Come viene gestito il concetto di master/slave in PowerDNS?

Usando come backend un database MySQL, è facile mettere su un altro server sul quale configurare PowerDNS e la replica del database principale oppure, si può fare in modo che entrambi i server DNS usino lo stesso server MySQL ma questa soluzione è poco high available.

Consiglio di leggere la documentazione ufficiale al fine di ottenere il massimo da questo potente server DNS o scrivere eventuali quesiti nei commenti sperando che io riesca a rispondere!:)

Un rootkit, (in ambiente Unix per “root” access si intende accesso di livello amministrativo, quindi letteralmente si potrebbe intendere equipaggiamento da amministratore) è un programma software creato per avere il controllo completo sul sistema senza bisogno di autorizzazione da parte di utente o amministratore. Recentemente alcuni virus informatici si sono avvantaggiati della possibilità di agire come rootkit (processo, file, chiave di registro, porta di rete) all’interno del sistema operativo.

Per capire se sul nostro server ci sono rootkit è necessario:

• controllare i log di sistema alla ricerca di cose anomale
• monitorare attentamente i processi server quali Apache, SSH etc
• controllare le directory su cui tutti possono scrivere come ad esempio /tmp
• vedere il file history alla ricerca di comandi non nostri
• attraverso tool come ntop vedere se ci sono in esecuzione processi non autorizzati
• con netstat o nmap verificare che non ci siano porte aperte non consentite dalla nostra configurazione
• controllare lo spazio su disco utilizzato

Tutto questi controlli portano via tempo e di certo non è un lavoro facile da fare.

In ambiente Linux esistono due tool particolarmente efficienti che fanno al caso nostro: ChkRootkit e rkhunter.

Installiamo il software su Debian:

apt-get install chkrootkit rkhunter

rkhunter

Una volta installato va aggiornato:

rkhunter --update

Adesso possiamo eseguire uno scan sul nostro sistema:

rkhunter -c

L’output è molto esplicito e di facile comprensione.

Utili queste opzioni:

• --createlogfile <file> : l’output viene scritto sul file specificato
• –skip-keypress : non è necessario dare conferme tramite l’esecuzione

ChkRootkit

E’ meno duttile di rkhunter visto che rileva solo una lista ben precisa di rootkit.

Per l’esecuzione è sufficiente:

chkrootkit

Consiglio vivamente di inserire tali contralli nel crond (Debian automatizza tale operazione con rkhunter) ma soprattutto di tenersi aggiornati con i bug di sicurezza attraverso le apposite mailing-list della distribuzione usata o via web con i siti specializzati.


netstat -lnp


L’output è bello corposo ma di facilissima comprensione.

Se volessimo vedere tutte le connessioni attive:


netstat -nat


Tutto troppo facile!:)

fuser -v -n (tcp | udp)

Facciamo una prova su un server che ha Apache in esecuzione:

fuser -v -n tcp 80

Ecco l’output:

                     USER        PID ACCESS COMMAND
80/tcp:              root      19375 F.... apache2
                     www-data  23223 F.... apache2
                     www-data  24155 F.... apache2
                     www-data  26253 F.... apache2
                     www-data  26271 F.... apache2
                     www-data  26272 F.... apache2
                     www-data  26273 F.... apache2
                     www-data  26274 F.... apache2
                     www-data  26275 F.... apache2
                     www-data  26277 F.... apache2
                     www-data  26282 F.... apache2

Questo tool è utilissimo quando ci accorgiamo che c’è qualche porta non aperta da noi in ascolto, ed è quindi possibile risalire al processo in esecuzione che crea tale anomalia.