Con il passaggio a Sarge su veleno avevo fatto l’upgrade del Darwin Streaming Server alla versione 5.0.1.

Sono già un paio di volte che Jamo mi segnala che ha dovuto riavviare il DSS incriccato :-/ L’error.log non mi da’ molte informazioni: per non saper ne leggere ne scrivere (e soprattutto per evitare di essere disturbato durante le feste :-) ) ho reinstallato la versione 4.1.3 che con woody non aveva mai dato problemi. Speriamo che non litighi con le librerie di Sarge.

Il downgrade è del tutto simile all’upgrade, tanto lo script non indaga sul fatto che la versione installata sia precedente o no: basta lanciare lo script Install :-)
Io cmq ho fatto un backup di /etc/streaming che ho ripristinato subito dopo l’installazione, giusto per evitare di ripristinare i singoli file dalla copia .backup che genera lo script.

Visti recenti bug di php che sono stati annunciati persino su slashdot è probabile che stiano iniziando a girare i primi worm che sfruttano queste vulnerability… nel dubbio ho aggiornato tutti i server alla 4.3.10.

Per fortuna non usiamo molto php, ma la macchina che lo usa più intensamente è una Woody :-/ Visto che sembra che non verranno rilasciate fix per la versione 4.1.x in woody ho optato per i backport di dotdeb.
BTW, interessante repository, ma è solo un tampone prima di passare a sarge (o sid?).

Mi sono occupato in questi giorni di un nuovo cliente che ha cambiato contratto con fastweb e doveva migrare la configurazione dei suoi server.
Nel 2000, in pieno boom della new-economy, aveva fatto un contratto per un’intera classe C di ip (256). Hanno un cisco 7100 in cantina e, se non ho capito male, 100Mbit di banda! Ora per rivedere le spese hanno fatto un contratto per soli 8 ip pubblici (10Mbit canonici e un 17xx come router).

1. Ho scoperto che quando fastweb ti propone 8 ip ti da due possibilità e ti spiega che in un caso perdi 2 ip mentre nell’altro li puoi usare tutti e 8. L’installatore del router non ha saputo darmi dettagli, ma poi parlando al telefono con un tecnico ho scoperto l’arcano: nel primo caso fanno un classico subnetting (ti perdi l’indirizzo di rete, quello di broadcast, ma anche quello assegnato al router=default gateway!) ed era scontato. Nel secondo caso invece fanno un bel nat 1-1 tra gli ip pubblici e gli ip privati che hai deciso di assegnare alle tue macchine.
Sarebbe stato bello trovare un bel sistema di proxy-arp in modo da evitare il nat e avere comunque tutti gli ip a disposizione.

2. Ho dovuto metter mano a macchine veramente obsolete: quasi tutte delle RH6.x non aggiornate. La cosa incredibile è che siano ancora funzionanti nonostante siano esposte al mondo con servizi bacatissimi quali ssh. Un tuffo nel passato, tanto per dirne un paio: gli script di controllo dei servizi sotto /etc/rc.d/init.d/ o i log di syslog sotto /var/spool/log/. Kernel 2.2 senza il supporto per fare source routing con iproute (che mi avrebbe fatto molto comodo per mantenere attive entrambe le connessioni durante la transizione) e ho ancora i brividi per gli script di firewall con ipchains :-/ Mi sono anche imbattuto in qmail (che fino ad oggi mi ero sempre rifiutato di studiare vista la mia spassionata preferenza per postfix).

3. Cosa fareste con 256 ip pubblici su fastweb (il traffico da fastweb arriva NON nattato!) ? Non entrerò nel dettaglio delle VPN, dei port forwarding su server eMule interni alla lan, delle macchine di amici o ex amministratori di rete ancora collegate… Peccato essere arrivato tardi :-)

Oggi è arrivato Zafi.d, un altro bel worm per windowz che si sta’ diffondendo velocemente. Decisamente simpatica la gif animata :-)

Ecco come si presenta:

* Buon…. ….Natale! *

Appena mi sono reso conto del problema l’ho bloccato direttamente su postfix con un chek sugli header del messaggio.

BTW, interessante lo scanner online di Trend-Micro.

Stamattina fastweb, per quel che ne so, ha ‘fritto’ un router… di fatto non si usciva più su internet. Ho notizia certa che anche l’utenza professionale ha accusato il colpo (i.e. un AS con un paio di classi C assegnate).

Mi piacerebbe conoscere i dettagli del danno… possibile che un provider di questo livello non abbia un backup funzionante???

Mah…

Sul sito di repubblica.it si legge:
“Si è trattato di un software bug (n.d.r. un virus) – spiega l’azienda – e ha colpito solo la clientela residenziale”

A parte che mi hanno garantito problemi anche per l’utenza professionale, ma poi, un virus??? Vuol dire che il loro gateway su internet gira su piattaforma micro$oft? O più semplicemente gli hanno bucato la macchina?

Mi piacerebbe proprio saperne di più.

Per cercare di resuscitare il portatile di uno dei nostri stimati giocatori ho realizzato una chiavetta usb bootable con la mini distro INSERT. L’ho scoperta oggi e sembra ben fatta: basata sulla knoppix 3.6 occupa solo 50M e ha giusto il sw per “sistemare” un pc incasinato. In particolare supporto rw per NTFS e ClamAV. Il tutto infiocchettato con fluxbox.

Essential-howto per farla funzionare su usb invece che da cdrom:
# mount -o loop INSERT-xxx.iso /mnt/loop
# mkfs -t vfat /dev/sda1
# syslinux /dev/sda1
# dd if=spb2_mbr.sec of=/dev/sda
# mount /dev/sda1 /mnt/usb
# cp -a /mnt/loop/* /mnt/usb/
# mv /mnt/usb/isolinux/* /mnt/usb/
# mv /mnt/usb/isolinux.cfg /mnt/usb/syslinux.cfg
# sync; sync; sync
# umount /mnt/usb; umount /mnt/loop


dove spb2_mbr.sec è un boot sector preso da http://www.8ung.at/spblinux/.

Oggi finalmente mi sono deciso a rimettere mano alla migrazione del server di posta ad una nuova macchina/nuova architettura.

La scelta per il momento è orientata a Postfix+Dovecot+LDAP. Ovviamente non ho trovato nessun how-to già pronto ma sono in tanti ad aver utilizzato la stessa archiettura con MySQL o Postgresql come DB.

La scelta più difficile è stata decidere quale schema LDAP utilizzare. Ci sono un po’ di how-to che hanno utilizzato lo schema di qmail. Ho passato in rassegna un po’ di tool di manutenzione via web, e “gosa” mi pare ben fatto: unica pecca è che usa tutti schemi propri.

Vorrei usare schemi il più standard possibili per facilitare eventuali integrazioni o migrazioni future. Così ho optato per sfruttare i dati come li importano in slapd i ‘migrationtools’. Ovviamente con qualche piccola modifica.

Per oggi, dopo aver partorito le scelte progettuali, ho fatto funzionare dovecot… domani, o quando mi torna la voglia, vedo di far funzionare anche postfix.

Mattinata impegnata con un
apt-get dist-upgrade
su balilla e veleno.

A seguire Burlagiò col Corra :-)

Sminchio serale dovuto all’upgrade di image magick.

In particolare:

1. Apache si lamenta se si cerca di stampare direttamente su stdout con un
$image->Write('-')
bisogna usare qualcosa tipo:
binmode STDOUT;
$image->Write(file=>\*STDOUT);
…probabilmente basta un:
binmode STDOUT;
$image->Write('png:-');

2. L’attributo compress non piace più, sostituito da compression.

Visto che telecom sembra averci lasciato a piedi oggi… ho riesumato una vecchia ADSL demo di Alice

Mi serviva giusto capire com’è configurato così mi sono attaccato sulla console con una seriale… dopo un po’ di prove la giusta configurazione 38400bps (8N1), nessun flow-control.

CLI un po’ del cavolo cmq, dopo una ricerchina su google ho trovato:
$ get ip address
per aver l’indirizzo ip.

Già che c’ero mi sono creato un utente amministratore:
$ create username USERNAME passwd PASSWORD root
:-)

Link interessante: http://ipmfree.altervista.org/

E’ morto S2. La ventola dell’alimentatore.

Incredibile, il problema è quasi sempre lo stesso. Possibile che non riescano a fare delle ventole un po’ più affidabili? Un po’ di polvere e si impantanano! Qualche migliaio di euro di PC e poi si blocca tutto per pochi euro di ventola.

Non avendo il pezzo di ricambio al momento ho scotchato un’altra ventola sull’alimentatore :-/

Mi sa’ che è l’occasione buona per programmare un fermo macchina e aggiornare anche S2 ad una nuova macchina debianizzata.