Ubuntu Server 6.06 LTS: quasi tempo di pensione

Per la prima versione Server LTS di Ubunut, la 6.06 si avvicina il tempo della pensione: il primo giugno 2011 terminerà il supporto degli aggiornamenti di sicurezza e agli aggiornamenti critci. 

I manager di Ubuntu suggeriscono di fare l'upgrade almeno alla versione 8.04 LTS (il cui supporto è garantito per altri due anni) seguendo questa guida.

Articoli Correlati

Microsoft Security Essentials: presto gratuito per le pmi

Microsoft Security Essentials, la soluzione antivirus ed anti-malware che Microsoft un anno fa ha messo gratuitamente a disposizione di tutti gli utenti consumer, potrà presto essere installato in modo ufficiale anche dalle piccole aziende che hanno fino a 10 postazioni di lavoro.
A partire da Ottobre, infatti, i termini della sua licenza cambieranno e le aziende con dieci o meno PC potranno scaricare ed utilizzare il software senza alcun costo.
In realtà non si può fare a meno di notare come già la maggior parte delle piccole compagnie con pochi personal computer operino già in questo modo.
Con questa mossa Microsoft intende quindi formalizzare quella che è una realtà da tempo ben conosciuta dal colosso di Redmond. “Non è un segreto che moltissime piccole compagnie oggi non dispongono di un professionista IT dedicato o di uno staff che gestisca le loro risorse IT” – ha commentato la notizia con un post su Internet il responsabile Microsoft Eric Lingman – “Offrendo Security Essentials (con i suoi aggiornamenti automatici dal sito Microsoft) alle piccole imprese, senza richiedere alcun pagamento aggiuntivo, estendiamo quello che è il nostro impegno e la nostra missione annunciata, ovvero aiutarle a ridurre i costi dell’IT e far crescere il loro business”. In effetti, considerato il costo medio attuale di una licenza per un antivirus, il risparmio nell’utilizzare Microsoft Security Essentials nelle micro imprese può arrivare fino ai 250/300 euro all’anno, purchè i PC in uso siano dotati di regolari licenze Windows.
Microsoft Security Essentials si presenta all’utente finale come un’applicazione leggera da scaricare e utilizzare e dall’interfaccia intuitiva, volta a proteggere i PC contro virus ed altri malware e che si integra perfettamente con i controlli di sicurezza built-in presenti all’interno di Windows 7, Windows Vista e Windows XP (Service Pack 2 o superiore).
Il team di sicurezza Microsoft sta inoltre sviluppando una nuova versione del software comprendente ampliamenti e maggiori analisi di sicurezza, tuttavia la nuova versione è tutt’ora in fase beta.
Fin dal suo rilascio, sono stati numerosi i responsabili IT a chiedere che questo tipo di protezione potesse un giorno venire estesa gratuitamente a tutte le compagnie, a prescindere dalla loro dimensione in modo da incrementare anche la sicurezza degli ambienti Windows di minori dimensioni. L’annuncio della scorsa settimana viene visto da molti proprio come un ulteriore passo verso questa direzione.

Articoli Correlati

Multitouch nella nuova beta di Ubuntu 10.10

E’ quasi tempo per il rinnovo sementrale della nota distribuzione. A ottobre sarà pronta per essere scaricata Ubuntu 10.10, ma già ora è possibile testarne la beta, anche se ovviamente, potrebbe essere instabile e/o con qualche errore

Ubuntu 10.10 si basa sul kernel linux 2.6.35.3 e incorpora l’ambiente desktop Gnome 2.31 nella versione principale; per quanto riguarda le derivate troviamo naturalmente KDE 4.5.0b in Kubuntu e XFCE 4.6.2 in Xubuntu.

Alcune novità:

  1. Shotwell prende il posto di F-Spot come visualizzatore di immagini predefinito mentre Gwibber – il programma che permette di aggiornare Twitter senza aprire il browser – è stato migliorato e ora è più veloce;
  2. Ubuntu Software Center, che si rinnova nell’interfaccia per semplificare la visualizzazione del software installato in ordine cronologico e permette di ordinare le applicazioni in ordine di popolarità, oltre a mostrare quelle consigliate;
  3. Nuova interfaccia di installazione;
  4. Supporto al multitouch, con il quale è possibile gestire quelle funzionalità rese famose da Apple, quali zoom con due dita, o click con tre dita;
  5. Nell’Edizione per notebokk c’e’ un rinnovo dell’interfaccia con la barra per l’accesso rapido alle applicazioni spostata sul lato sinistro.

La versione definitiva di Ubuntu 10.10 è attesa per il 10 ottobre. La versione beta può essere scaricata dal sito ufficiale.

Articoli Correlati

La distribuzione più insicura del pianeta? Ovviamente una distribuzione linux!!!

Da Tuxjournal.

Quando si installa sul proprio PC l’ultima distribuzione uscita sul mercato ci si aspetta che pacchetti aggiornati, dunque sicura e lontana da possibili bug che potrebbero comprometterne il corretto utilizzo. Damn Vulnerable Linux (DVL) segue invece la filosofia opposta: offrire agli utenti/studenti una distribuzione più buggata che mai, con software non proprio aggiornato, “exploitabile” e mal configurato.

La distribuzione, sviluppata da un professore universitario di informatica tedesco, è nata essenzialmente per far capire agli studenti dei corsi di sicurezza del software come rendere sicuro un software oppure trattare temi delicati come il code engineering, i buffer overflow, sviluppo di shellcode, SQL injection e chi più ne ha, più ne metta. Disponibile come live CD grazie ad una ISO da ben 1.8GB, tra la dotazione software segnaliamo Apache, MySQL, PHP, FTP, SSH (ovviamente pieni di bug e configurazioni “da urlo”) e molti altri strumenti come GCC, GDB, NASM, strace, ELF Shell, DDD, LDasm, LIDa, etc. Tutti gli interessati possono scaricare la ISO da questo indirizzo.

Articoli Correlati

E' arrivata la nuova versione di UBUNTU LTS

Canonical ha rilasciato la versione definitiva di Ubuntu 10.04 Lucid Lynx, che porta con sé numerosi miglioramenti, tra cui un nuovo editor video, l’integrazione dei social network e una crescente selezione di software aggiuntivo. Assieme a Ubuntu, viene fornito anche il browser Firefox.

Per la condivisione, il fotoritocco e l’organizzazione delle immagini, c’è un rinnovato F-Spot, che permette di assegnare etichette alle foto e di esportare i file per masterizzare le immagini su CD, inviarle agli amici o condividerle on line. Rhythmbox, invece, è l’applicazione per organizzare contenuti musicali, ascoltare web radio, acquistare canzoni e gestire gli abbonamenti ai podcast. Canonical propone anche Ubuntu One Music Store, un negozio di musica digitale on line che offre brani primi di DRM. Ubuntu 10.04 permette di collegarsi a servizi on line di chat e social network, come Facebook, Twitter, Windows Live e Google Talk.

Non mancano software per la produttività e l’ufficio: Evolution si occupa di gestire la posta elettronica e il calendario, OpenOffice provvede a fornire strumenti per documenti, fogli di calcolo e presentazioni. Senza dimenticare Ubuntu Software Center, dove reperire migliaia di applicazioni. Ubuntu 10.04 consente anche di sincronizzare documenti, musica, segnalibri, rubriche e note su più dispositivi, come PC desktop, notebook e netbook. Disponibile, inoltre, uno spazio gratuito di 2 GB su un cloud personale.

Articoli Correlati

Le patch del mese di aprile

Anche questo mese un po’ di patch di sicurezza da Microsoft ed Oracle.

Microsoft in un colpo solo tappa 25 falle di sicurezza di cui tre sono ritenute molto importanti come si legge dal Microsoft security Response Center (MSRC):

MS10-019, che interessa tutte le versioni di Windows, corregge un bug che può consentire ad un cracker di alterare il contenuto di un file PE o CAB senza invalidarne la firma digitale;
MS10-026 risolve una vulnerabilità relativa al codec MP3 incluso in Windows che può essere innescata semplicemente visitando una pagina web contenente uno stream video AVI. Il problema affligge in modo serio Windows 2000, XP e Server 2003/2008 (tranne le edizioni per Itanium), mentre non interessa Windows 7 e Server 2008 R2;
l’MS10-027 illustra un problema di Windows Media Player 9 quando gira su Windows 2000 e XP, poblema che può essere sfruttato inducendo un utente a visitare una certa pagina web contenente del codice maligno.

Poi ce ne sono altre che correggono un problema del tasto F1 in VBScript, un aggiornamento del Kernel di Windows ed svariate altre che potete vedere nel link sopra esposto.

Per quanto riguarda Oracle si consiglia di fare riferimento al seguente link. Anche qui i prodotti affetti sono molti.

Comunque non dimentichiamoci delle varie distribuzioni linux che anche in questo periodo hanno proposto tutta una serie di aggiornamenti e per ultimo l’amato Mac, che dopo la grossa patch/update di due settimane fa che ha di fatto portato la release di Mac OSX alla versione 10.6.3, l’altra notte Apple ha rilasciato un aggiornamento che l’azienda di Cupertino ha chiamato 10.6.3 v1.1.

Buon aggiornamento quindi.

Articoli Correlati

Utilizzare wget dietro un proxy

Wget è una utility che viene utilizzata moltissimo su server unix in assenza di interfaccia grafica. E’ utilizzato per scaricare pagine web (o interi siti in locale) e per automatizzare alcuni processi includendolo in script eseguibili sia per operazioni riguardanti il protocollo HTTP che per il protocollo FTP.

Molto spesso in ambito aziendale  i server sono confinati dietro ad un proxy per l’accesso alla rete e quindi?

Ecco un breve tutorial per bypassare la situazione:

  1. Bisogna settare una variabile d’ambiente: in linux aprire un terminale (oppure inserire nello script) e digitare export http_proxy=”http://proxy.esempio.it:8080” avendo cura di inserire il vostro indirizzo del proxy e la porta su cui è in ascolto;
  2. utilizzare il comnado wget http://url da visitare;

Nel caso in cui volete utilizzare il protocollo ftp:

  1. La variabile d’ambiente da settare è diversa: export ftp_proxy=”ftp://proxy.esempio.it:8080
  2. Utilizzare il comando wget ftp://url da visitare;

Nel caso il vostro server proxy necessiti di autenticazione, i passi sono molto simili in ambedue i casi:

  1. Settare la variabile d’ambiente in questo modo: export http_proxy="http://username:password@proxy.esempio.it:8080" (la modifica è ovvia per l'ftp)
  2. Utilizzare il comando come al solito

Articoli Correlati

Installare java su distribuzione ubuntu

Capita spesso, molto spesso di utilizzare java su ubuntu.

Per installarlo è molto semplice:

  1. Aprire un terminale;
  2. Digitare sudo apt-get update;
  3. Digitare sudo apt-get install sun-java6-jdk;
  4. Rispondere yes alla domanda ed accettare i termini di licenza;
  5. Digitare sudo gedit /etc/environment sullo stesso terminale;
  6. Aggiungere alla fine del file la seguente riga: JAVA_HOME=”/usr/lib/jvm/java-6-sun” e salvare;
  7. Se volete attivare subito la variabile digitare source /etc/environment. Per abilitarla pero’ su tutte le sessioni dovrete  scollegarvi e ricollegarvi;
  8. Se vi serve anche il supporto java su Mozilla Firefox dovete installare anche il plugin con  sudo apt-get install sun-java6-plugin

Articoli Correlati

Amministratori di sistema: un sistema di log open source

Domani entra in vigore il famigerato decreto sugli amministratori di sistema.

Questa è una soluzione che abbiamo sviluppato e che proponiamo ai nostri clienti per quanto riguarda la parte tecnica, gestione dei log degli accessi degli amministratori di sistema.

Nel pieno rispetto dell’open source presentiamo una soluzione a basso costo utilizzando sistemi liberamente scaricabili da internet.

Sistemi per la gestione dei log ne esistono di tutti i tipi e per tutte le tasche ma, leggendo le caratteristiche di molti a pagamento… abbiamo subdorato che molto spesso sono dei pc embedded con programmi open source venduti a svariati migliaia (se non decine di migliaia) di euro. Vediamo come fare utilizzando la rete.

Prendimao un pc con una buona dotazione di spazio disco (e poi vedremo perchè) e installiamoci una distribuzione open source linux (noi lavoriamo con ubuntu… ma il discorso si puo’ fare con qualsiasi altra distribuzione avendo l’accortezza di utilizzare i comandi adeguati).

A questo punto montiamoci un server MySql e quindi utilizziamo come log server centralizzato il sistema Syslog-ng per salvare tutti i dati sul database menzionato.

Seguendo le direttive trovate sul seguente link:  http://www.openskill.info/infobox.php?ID=1466

Innanzitutto e’ necessario  connettendosi a mysql con il comando mysql -u username -p passwhord -h 127.0.0.1 e creare il database che conterra’ i log con il comando create database db_log;.
Si presuppone che mysql sia in esecuzione sullo stesso sistema del syslog server ed in ascolto sull’indirizzo di loopback.
Una voltra create il database si suggerisce di creare un utente apposito che abbia i privilegi sullo stesso, in modo di evitare di utilizzare l’utenza di root. Anche in questo caso e’ necessario loggarsi al dbms con un mysql -u username -p password -h 127.0.0.1 ed eseguir eil seguente comando:
GRANT ALL PRIVILEGES ON db_syslog.* TO syslog_user@127.0.0.1 IDENTIFIED BY 'syslog_password'.
L’ultima operazione da eseguire sul database e’ la creazione della tabella che conterra’ i messaggi syslog salvati da syslog-ng. Tale operazione puo’ essere portata a termine con il comando mysql -u syslog_user -p syslog_password -h 127.0.0.1 < syslog_table.sql .
syslog_table.sql sara’ un file di testo contenente le istruzione per creare la tabella, e dovra’ contenere le seguenti linee:

#
# Table structure for table `logs`
#

CREATE TABLE logs (

host varchar(32) default NULL,
facility varchar(10) default NULL,
priority varchar(10) default NULL,
level varchar(10) default NULL,
tag varchar(10) default NULL,
date date default NULL,
time time default NULL,
program varchar(15) default NULL,
msg text,
seq int(10) unsigned NOT NULL auto_increment,

PRIMARY KEY (seq),

KEY host (host),
KEY seq (seq),
KEY program (program),
KEY time (time),
KEY date (date),
KEY priority (priority),
KEY facility (facility)

) TYPE=MyISAM;

Ovviamente nel caso il file syslog_table non sia nella stessa directory dalla quale viene lanciato il client mysql sara’ necessario specificare il percorso del file in questione.
Una volta predisposta la parte relativa al database, e’ stata aggiunta la seguente destinazione al file di configurazione di syslog-ng /etc/syslog-ng/syslog-ng.conf:

#file di destinazione con query sql che saranno processate dal feeder
destination file_sql {
file(“/var/log/sqllog/log_sql_$HOUR.$MIN”
template(“INSERT INTO logs (host, facility, priority, level, tag, date, time, program, msg) VALUES ( ‘$HOST’, ‘$FACILITY’, ‘$PRIORITY’, ‘$LEVEL’, ‘$TAG’, ‘$YEAR-$MONTH-$DAY’, ‘$HOUR:$MIN:$SEC’,’$PROGRAM’, ‘$MSG’ );n”)
template_escape(yes));
};

Questa direttiva fa in modo che all’interno del file /var/log/sqllog/log_sql_ORA.MINUTO vengano inserite una serie di istruzioni INSERT SQL che una volta eseguite dal client mysql andranno ad inserire i dati nella tabella logs del database db_syslog.
A meno che nel file di configurazione di syslog-ng non sia posta a yes l’opzione create_dirs sara’ necessario creare la directory /var/log/sqllog ed impostare dei permessi coerenti con le opzioni owner, group, perm, dir_owner, dir_group e dir_perm se definite nel file di configurazione di syslog-ng.
Inoltre, come si puo’ notare dall’opzione file della direttiva destination, non verra’ creato un singolo file ma diversi a seconda dell’ora e del minuto in cui verranno generati. Tale scelta si e’ resa necessaria per semplificare la creazione e l’esecuzione dello shellscript che eseguira effettivamente gli inserimenti nek database e che verra’ successivamente illustrato.

Infine, la nuova destinazione creata dovra’ essere utilizzata all’interno di una direttiva log del file /etc/syslog-ng/syslog-ng.conf perche’ qualcosa possa essere scritto all’interno del file /var/log/sqllog/log_sql_ORA.MINUTO:

#log query per il feeder
log { source(s_all); destination(file_sql); };

Con questa configurazione, pero’, nessun dato viene ancora scritto all’interno del database ma vengono solo scritte delle istruzioni INSERT nei file /var/log/sqllog/log_sql_ORA.MINUTO.
E’ quindi necessario creare uno script che prenda questi file e inserisca effettivamente i log all’interno del database, ad esempio /opt/syslg-db/feeder.sh:

#!/bin/bash
# Script adattato da process_logs di  Casey Allen Shobe

dbhost=”localhost”
dbuser=”syslog_user”
dbpass=”syslog_password”
dbname=”db_log”
datadir=”/var/log/sqllog”

while true; do
logfiles=`find $datadir -name “log_sql_[0-2][0-9].[0-5][0-9]”`
sleep 70 # This is to ensure we don’t screw up a log currently being written.
for logfile in $logfiles; do
cat $logfile | mysql –user=$dbuser –password=$dbpass $dbname
if [ $? -ne 0 ]; then
echo “[ERRORE] Problema nel processare il file $logfile!!!” >> $datadir”/feeder_log.log”
#exit 1 #Comment out this line if you want the script to
else
echo “[OK] $logfile inserito nel db in data `date –rfc-3339=seconds`” >> $datadir”/feeder_log.log”
rm -f $logfile
fi
done
done

Nella parte iniziale dello script vengono definite alcune variabili d’ambiente che indicano i parametri da utilizzare per la connessione al database e la directory dove si trovano i files scritti da syslog-ng contenenti le istruzioni inserti da eseguire.
Un aspetto importante dello script e’ l’istruzione sleep 70 eseguita all’interno del ciclo while dopo avere settato la variabile contenente i nomi dei file da processare durante l’iterazione corrente. Quando eseguita essa sospende l’esecuzione dello script per 70 secondi, in modo da impedire che possa essere processato un file in corso di scrittura da parte di syslog-ng.
Poiche’ la destination definita nel file di configurazione di syslog-ng, prevede la creazione di un nuovo file di log ogni minuto (grazie all’utilizzo della macro $MIN), con una sleep di 70 secondi si avra’ la sicurezza che i files definiti nella variabile logfiles non siano piu’ oggetto di scrittura, essendo trascorsi almeno 60 secondi dalla loro creazione.
Per ognuno di questi file, infine, vengono eseguite le istruzioni INSERT in essi contenute passandole in input al client mysql tramite la linea cat $logfile | mysql --user=$dbuser --password=$dbpass $dbname.
Una volta processato, il file viene rimosso tramite il comando rm -f. Lo script verifica inoltre l’exit code del comando mysql ed in base ad esso scrive l’esito del processing del file in /var/log/sqllog. Questa operazione puo’ anche essere considerata superflua ed evitata semplicemente commentando le due istruzioni echo all’interno del ciclo for.
Infine, per automatizzare l’utilizzo dello script feeder.sh e’ possibile modificare lo script /etc/syslog-ng/syslog-ng in modo da avviare e terminare automaticamente feeder.sh insieme al syslog server:

#!/bin/sh
#
[…]

start() {
echo -n $”Starting $prog: ”
daemon $exec $SYSLOGNG_OPTIONS
retval=$?
echo
[ $retval -eq 0 ] && touch $lockfile
echo “Starting Feeder”
/opt/syslg-db/feeder.sh &
return $retval
}

stop() {
echo “Stopping Feeder”
killall feeder.sh
echo -n $”Stopping $prog: ”
killproc $prog
retval=$?
echo
[ $retval -eq 0 ] && rm -f $lockfile
return $retval
}

[…]

Bene a questo punto il server è a posto, ricordandosi di abilitare la ricezione dei log remoti modificando una riga su /etc/syslog-ng/syslog-ng.conf . La riga in questione comincia con #udp(). Cancellate il carattere #, salvate riavviate il server syslog- Bene il sistema è quasi pronto.

Passiamo ai clients.

Se i client sono linux, nessun problema, installate su tutti il demone syslog-ng e modificatene il contenuto aggiungendo le seguenti righe:

destination d_loghost  { udp(“ip_server_log”);  };

log { source (s_all); destination (d_loghost);};

Riavviate sui client il demone syslog-ng e il server comincerà a ricevere i log.

Passiamo ai clienti Windows (per client, intendo server windows che manderanno i log sul server di log centralizzato)

Per windows ho testato  Snare Agent per windows, un pacchetto open source che installa un servizio per il log degli eventi su windows ed è amministrabile tramite una pagina web. L’installazione si limita al solito doppio click sull’eseguibile, all’impostazione della password ed alla scelta se permettere o meno l’accesso remoto alla pagina di configurazione del servizio. Per effettuare la configurazione è sufficiente puntare il browser su localhost:6161. Utente e password di default sono snare/snare, da cambiare immediatamente.

La configurazione da impostare per avere il log remoto è sulla pagina network. Basta impostare  Destination Snare Server address con l’indirizzo ip del server di log e come  destination  port  514. Attivare Enable Syslog  Header e selezionare come syslog facility auth, con livello notice.

Stanchi? un attimo di pazienza tra un po’ è finito.

A questo punto abbiamo tutti i nostri log su un server mysql. La normativa ci impone di salvarli su supporti non modificabili (cd o dvd in pratica).

Lo risolviamo in questo modo:

Scriviamo un piccolo script che ad una certa ora (impostata con cron) viene eseguito per estrarre i dati dal database e scriverli in un file che poi recupereremo per trasferirlo in un cd  e/o DVD.

lo script è il seguente:

#!/bin/bash
dbhost=”localhost”
dbuser=”syslog_user”
dbpass=”syslog_password”
dbname=”db_log”
filebackup=backup-log-$(date +%d-%m-%Y –date=”yesterday”)
/usr/bin/mysql –user=$dbuser –password=$dbpass $dbname < /opt/syslg-db/query.sql > /home/log/$filebackup.txt
gzip /home/log/$filebackup.txt

il contenuto del file sql query.sql è questo:

select * from logs where date=(select curdate() – interval 1 day);

Per recuperare il tutto abbiamo utilizzato il servizio ftp (il server  non ha monitor e/o tastiera). Installiamo il demone proftpd, lo configuriamo e creiamo un utente log. A questo punto, a tempi prefissati, ci recuperiamo i files da scrivere sui CD e/o DVD

Alcune note di prestazione: da un nostro cliente con una decina di server e con circa 100 client con tale sistema in meno di cinque giorni abbiamo un db con oltre 2 milioni di righe!!!!  Diventa importante quindi eseguire ogni tanto un task per cancellare dal db i record vecchi di n giorni ( a questo punto è banale l’implementazione).

Altra nota: il garante ci dice che dobbiamo loggare anche tutti gli accessi degli amministratori sui pc che trattano dati pernonali e/o sensibili.. i log diventeranno ancora di più.

Abbiamo finito, questa è una soluzione che abbiamo ritenuto soddisfacente i requisiti minimi del garante (a seguito anche di incontri con esponenti del Garante stesso). Non saraà perfetta, sarà migliorabile, ma funziona.

Attendiamo commenti

Articoli Correlati

Azure: il cloud di Microsoft

A partire dal prossimo anno sarà disponibile la piattaforma Azure per il cloud computing di Microsoft.

“L’1 gennaio, per la prima volta, Windows Azure passerà nella fase di servizio di produzione a pagamento, anche se gli utenti inizieranno a pagare solo da febbraio”, ha spiegato Ray Ozzie, chief software architect di Microsoft, all’evento PDC (Professional Developer Conference) del fornitore, in corso a Los Angeles.

Fisicamente i servizi Azure saranno erogati in sei data center, due negli States, due in Europa e due in Asia.

Articoli Correlati