Php 4.3.10 su Kalle

Visti recenti bug di php che sono stati annunciati persino su slashdot è probabile che stiano iniziando a girare i primi worm che sfruttano queste vulnerability… nel dubbio ho aggiornato tutti i server alla 4.3.10.

Per fortuna non usiamo molto php, ma la macchina che lo usa più intensamente è una Woody :-/ Visto che sembra che non verranno rilasciate fix per la versione 4.1.x in woody ho optato per i backport di dotdeb.
BTW, interessante repository, ma è solo un tampone prima di passare a sarge (o sid?).

Una Classe C su FW

Mi sono occupato in questi giorni di un nuovo cliente che ha cambiato contratto con fastweb e doveva migrare la configurazione dei suoi server.
Nel 2000, in pieno boom della new-economy, aveva fatto un contratto per un’intera classe C di ip (256). Hanno un cisco 7100 in cantina e, se non ho capito male, 100Mbit di banda! Ora per rivedere le spese hanno fatto un contratto per soli 8 ip pubblici (10Mbit canonici e un 17xx come router).

1. Ho scoperto che quando fastweb ti propone 8 ip ti da due possibilità e ti spiega che in un caso perdi 2 ip mentre nell’altro li puoi usare tutti e 8. L’installatore del router non ha saputo darmi dettagli, ma poi parlando al telefono con un tecnico ho scoperto l’arcano: nel primo caso fanno un classico subnetting (ti perdi l’indirizzo di rete, quello di broadcast, ma anche quello assegnato al router=default gateway!) ed era scontato. Nel secondo caso invece fanno un bel nat 1-1 tra gli ip pubblici e gli ip privati che hai deciso di assegnare alle tue macchine.
Sarebbe stato bello trovare un bel sistema di proxy-arp in modo da evitare il nat e avere comunque tutti gli ip a disposizione.

2. Ho dovuto metter mano a macchine veramente obsolete: quasi tutte delle RH6.x non aggiornate. La cosa incredibile è che siano ancora funzionanti nonostante siano esposte al mondo con servizi bacatissimi quali ssh. Un tuffo nel passato, tanto per dirne un paio: gli script di controllo dei servizi sotto /etc/rc.d/init.d/ o i log di syslog sotto /var/spool/log/. Kernel 2.2 senza il supporto per fare source routing con iproute (che mi avrebbe fatto molto comodo per mantenere attive entrambe le connessioni durante la transizione) e ho ancora i brividi per gli script di firewall con ipchains :-/ Mi sono anche imbattuto in qmail (che fino ad oggi mi ero sempre rifiutato di studiare vista la mia spassionata preferenza per postfix).

3. Cosa fareste con 256 ip pubblici su fastweb (il traffico da fastweb arriva NON nattato!) ? Non entrerò nel dettaglio delle VPN, dei port forwarding su server eMule interni alla lan, delle macchine di amici o ex amministratori di rete ancora collegate… Peccato essere arrivato tardi :-)

W32/Zafi.D

Oggi è arrivato Zafi.d, un altro bel worm per windowz che si sta’ diffondendo velocemente. Decisamente simpatica la gif animata :-)

Ecco come si presenta:

* Buon…. ….Natale! *
 
:) Fabulus 

Appena mi sono reso conto del problema l’ho bloccato direttamente su postfix con un chek sugli header del messaggio.

BTW, interessante lo scanner online di Trend-Micro.

Google suggest

Scopro ora sul blog di Gaetano quest’altra invenzione di Google:
http://www.google.com/webhp?complete=1&hl=en

Veramente notevole. In linea di principio era evidente che si potesse mettere in piedi una cosa del genere, ma da qui a realizzarlo… e con che velocità di risposta lato server!

L’altro lato della medaglia è quello del “grande fratello”. Questa applicazione di google palesa quanto facilmente possiamo essere controllati e, soprattutto fino a che livello di dettaglio. Ogni carattere digitato viene inviato al server!

Cmq, google sembra aver fatto le cose per bene: da un dump di rete il traffico generato è lo stretto necessario. Il cuore del sistema è
http://www.google.com/ac.js

Non l’ho ancora guardato bene ma dal traffico generato si evince che il motore lato server è:
www.google.com/complete/search

chiamato ad esempio con:
www.google.com/complete/search?hl=en&js=true&qu=mu

da come risultato (Content-Type: text/html; charset=utf-8):
sendRPCDone(frameElement, "mu", new Array("music", "multimap", "music videos", "music downloads", "music lyrics", "multi map", "muse", "music download", "multiple sclerosis", "musicians friend"), new Array("481,000,000 results", "1,540,000 results", "29,100,000 results", "19,700,000 results", "22,700,000 results", "11,500,000 results", "6,140,000 results", "23,200,000 results", "2,240,000 results", "3,410,000 results"), new Array(""));

Update:
Il Jamo mi fa’ notare che google ti riconosce e ti suggerisce le ultime ricerche che hai fatto. Wow! All’anima del grande fratello.

Camilla è una STAR

Abbiamo passato queste feste all’insegna dei bambini.

Ieri pomeriggio siamo stati a trovare la piccolissima Alice. Poi, coincidenza, da Moni e Ste ci hanno raggiunto Patty ed Enrico con Gabriele che ormai ha compiuto i 4 mesi! Alice è veramente bellissima mentre Gabriele è di una simpatia contagiante. Si è tirato tardi fino a decidere di farci una pizza insieme. Anche Vivi è riuscita a gustarsela… ma l’ha pagata appena arrivati a casa con una forte acidità di stomaco :-(

Oggi invece, a pranzo dalle nipotine che sono sempre più grandi e belle. Giudizio di parte ovviamente, ma condiviso da altri: Camilla è stata scelta per fare la pubblicità a dei pannolini! E non si era neanche candidata: l’hanno vista al negozio (dei pannolini) e hanno chiesto alla mamma di mandare delle foto.

Fork()

fabio@gnu:~$ man -k fork
fork (2) - create a child process

Ad alcuni ho già avuto modo di dirlo, altri ormai lo sospettano visto che la Vivi ha nausee e continua vomitare, ai più non gliene può fregare di meno :-)

Cmq, la notizia è *grandiosa* e non potevo resistere oltre a pubblicarla qui.

Credo che questa volta man (RTFM!) non servirà a molto, anche perché la racconta un tantino semplificata :-) ma non poteva mancare l’analogia (anche se appena appena forzata/scontata).

Possibile che non esista una RFC? :-)

Fastweb down

Stamattina fastweb, per quel che ne so, ha ‘fritto’ un router… di fatto non si usciva più su internet. Ho notizia certa che anche l’utenza professionale ha accusato il colpo (i.e. un AS con un paio di classi C assegnate).

Mi piacerebbe conoscere i dettagli del danno… possibile che un provider di questo livello non abbia un backup funzionante???

Mah…

Sul sito di repubblica.it si legge:
“Si è trattato di un software bug (n.d.r. un virus) – spiega l’azienda – e ha colpito solo la clientela residenziale”

A parte che mi hanno garantito problemi anche per l’utenza professionale, ma poi, un virus??? Vuol dire che il loro gateway su internet gira su piattaforma micro$oft? O più semplicemente gli hanno bucato la macchina?

Mi piacerebbe proprio saperne di più.

INSERT su usb

Per cercare di resuscitare il portatile di uno dei nostri stimati giocatori ho realizzato una chiavetta usb bootable con la mini distro INSERT. L’ho scoperta oggi e sembra ben fatta: basata sulla knoppix 3.6 occupa solo 50M e ha giusto il sw per “sistemare” un pc incasinato. In particolare supporto rw per NTFS e ClamAV. Il tutto infiocchettato con fluxbox.

Essential-howto per farla funzionare su usb invece che da cdrom:
# mount -o loop INSERT-xxx.iso /mnt/loop
# mkfs -t vfat /dev/sda1
# syslinux /dev/sda1
# dd if=spb2_mbr.sec of=/dev/sda
# mount /dev/sda1 /mnt/usb
# cp -a /mnt/loop/* /mnt/usb/
# mv /mnt/usb/isolinux/* /mnt/usb/
# mv /mnt/usb/isolinux.cfg /mnt/usb/syslinux.cfg
# sync; sync; sync
# umount /mnt/usb; umount /mnt/loop

dove spb2_mbr.sec è un boot sector preso da http://www.8ung.at/spblinux/.

Postfix+Dovecot+LDAP

Oggi finalmente mi sono deciso a rimettere mano alla migrazione del server di posta ad una nuova macchina/nuova architettura.

La scelta per il momento è orientata a Postfix+Dovecot+LDAP. Ovviamente non ho trovato nessun how-to già pronto ma sono in tanti ad aver utilizzato la stessa archiettura con MySQL o Postgresql come DB.

La scelta più difficile è stata decidere quale schema LDAP utilizzare. Ci sono un po’ di how-to che hanno utilizzato lo schema di qmail. Ho passato in rassegna un po’ di tool di manutenzione via web, e “gosa” mi pare ben fatto: unica pecca è che usa tutti schemi propri.

Vorrei usare schemi il più standard possibili per facilitare eventuali integrazioni o migrazioni future. Così ho optato per sfruttare i dati come li importano in slapd i ‘migrationtools’. Ovviamente con qualche piccola modifica.

Per oggi, dopo aver partorito le scelte progettuali, ho fatto funzionare dovecot… domani, o quando mi torna la voglia, vedo di far funzionare anche postfix.