Visti recenti bug di php che sono stati annunciati persino su slashdot è probabile che stiano iniziando a girare i primi worm che sfruttano queste vulnerability… nel dubbio ho aggiornato tutti i server alla 4.3.10.

Per fortuna non usiamo molto php, ma la macchina che lo usa più intensamente è una Woody :-/ Visto che sembra che non verranno rilasciate fix per la versione 4.1.x in woody ho optato per i backport di dotdeb.
BTW, interessante repository, ma è solo un tampone prima di passare a sarge (o sid?).

Mi sono occupato in questi giorni di un nuovo cliente che ha cambiato contratto con fastweb e doveva migrare la configurazione dei suoi server.
Nel 2000, in pieno boom della new-economy, aveva fatto un contratto per un’intera classe C di ip (256). Hanno un cisco 7100 in cantina e, se non ho capito male, 100Mbit di banda! Ora per rivedere le spese hanno fatto un contratto per soli 8 ip pubblici (10Mbit canonici e un 17xx come router).

1. Ho scoperto che quando fastweb ti propone 8 ip ti da due possibilità e ti spiega che in un caso perdi 2 ip mentre nell’altro li puoi usare tutti e 8. L’installatore del router non ha saputo darmi dettagli, ma poi parlando al telefono con un tecnico ho scoperto l’arcano: nel primo caso fanno un classico subnetting (ti perdi l’indirizzo di rete, quello di broadcast, ma anche quello assegnato al router=default gateway!) ed era scontato. Nel secondo caso invece fanno un bel nat 1-1 tra gli ip pubblici e gli ip privati che hai deciso di assegnare alle tue macchine.
Sarebbe stato bello trovare un bel sistema di proxy-arp in modo da evitare il nat e avere comunque tutti gli ip a disposizione.

2. Ho dovuto metter mano a macchine veramente obsolete: quasi tutte delle RH6.x non aggiornate. La cosa incredibile è che siano ancora funzionanti nonostante siano esposte al mondo con servizi bacatissimi quali ssh. Un tuffo nel passato, tanto per dirne un paio: gli script di controllo dei servizi sotto /etc/rc.d/init.d/ o i log di syslog sotto /var/spool/log/. Kernel 2.2 senza il supporto per fare source routing con iproute (che mi avrebbe fatto molto comodo per mantenere attive entrambe le connessioni durante la transizione) e ho ancora i brividi per gli script di firewall con ipchains :-/ Mi sono anche imbattuto in qmail (che fino ad oggi mi ero sempre rifiutato di studiare vista la mia spassionata preferenza per postfix).

3. Cosa fareste con 256 ip pubblici su fastweb (il traffico da fastweb arriva NON nattato!) ? Non entrerò nel dettaglio delle VPN, dei port forwarding su server eMule interni alla lan, delle macchine di amici o ex amministratori di rete ancora collegate… Peccato essere arrivato tardi :-)

Oggi è arrivato Zafi.d, un altro bel worm per windowz che si sta’ diffondendo velocemente. Decisamente simpatica la gif animata :-)

Ecco come si presenta:

* Buon…. ….Natale! *

Appena mi sono reso conto del problema l’ho bloccato direttamente su postfix con un chek sugli header del messaggio.

BTW, interessante lo scanner online di Trend-Micro.

Stamattina fastweb, per quel che ne so, ha ‘fritto’ un router… di fatto non si usciva più su internet. Ho notizia certa che anche l’utenza professionale ha accusato il colpo (i.e. un AS con un paio di classi C assegnate).

Mi piacerebbe conoscere i dettagli del danno… possibile che un provider di questo livello non abbia un backup funzionante???

Mah…

Sul sito di repubblica.it si legge:
“Si è trattato di un software bug (n.d.r. un virus) – spiega l’azienda – e ha colpito solo la clientela residenziale”

A parte che mi hanno garantito problemi anche per l’utenza professionale, ma poi, un virus??? Vuol dire che il loro gateway su internet gira su piattaforma micro$oft? O più semplicemente gli hanno bucato la macchina?

Mi piacerebbe proprio saperne di più.

Per cercare di resuscitare il portatile di uno dei nostri stimati giocatori ho realizzato una chiavetta usb bootable con la mini distro INSERT. L’ho scoperta oggi e sembra ben fatta: basata sulla knoppix 3.6 occupa solo 50M e ha giusto il sw per “sistemare” un pc incasinato. In particolare supporto rw per NTFS e ClamAV. Il tutto infiocchettato con fluxbox.

Essential-howto per farla funzionare su usb invece che da cdrom:
# mount -o loop INSERT-xxx.iso /mnt/loop
# mkfs -t vfat /dev/sda1
# syslinux /dev/sda1
# dd if=spb2_mbr.sec of=/dev/sda
# mount /dev/sda1 /mnt/usb
# cp -a /mnt/loop/* /mnt/usb/
# mv /mnt/usb/isolinux/* /mnt/usb/
# mv /mnt/usb/isolinux.cfg /mnt/usb/syslinux.cfg
# sync; sync; sync
# umount /mnt/usb; umount /mnt/loop


dove spb2_mbr.sec è un boot sector preso da http://www.8ung.at/spblinux/.

Oggi finalmente mi sono deciso a rimettere mano alla migrazione del server di posta ad una nuova macchina/nuova architettura.

La scelta per il momento è orientata a Postfix+Dovecot+LDAP. Ovviamente non ho trovato nessun how-to già pronto ma sono in tanti ad aver utilizzato la stessa archiettura con MySQL o Postgresql come DB.

La scelta più difficile è stata decidere quale schema LDAP utilizzare. Ci sono un po’ di how-to che hanno utilizzato lo schema di qmail. Ho passato in rassegna un po’ di tool di manutenzione via web, e “gosa” mi pare ben fatto: unica pecca è che usa tutti schemi propri.

Vorrei usare schemi il più standard possibili per facilitare eventuali integrazioni o migrazioni future. Così ho optato per sfruttare i dati come li importano in slapd i ‘migrationtools’. Ovviamente con qualche piccola modifica.

Per oggi, dopo aver partorito le scelte progettuali, ho fatto funzionare dovecot… domani, o quando mi torna la voglia, vedo di far funzionare anche postfix.