Testare i DNS

Con l’uscita di questo articolo dell’ottimo ossblog, che si merita il premio di blog del giorno, ho trovato finalmente una utility per testare i DNS: namebench presente anche su aur.

Ho constatato, con amara sorpresa, che i fooldns (tralasciando le altre feature) non sono poi così veloci ma almeno ho la soddisfazione di scrivere che gli opends sono quasi allo stesso livello.

Sono rimasto invece basito dalle soluzioni che proposte dopo i benchmark:

Recommended configuration (fastest + nearest):
———————————————-
nameserver 151.99.125.2 # Interbusiness IT
nameserver 212.31.224.3 # COLT IT-2
nameserver 62.196.2.70 # Infracom Network Application IT

********************************************************************************
In this test, Interbusiness IT is 96.5% faster than your current primary DNS server
********************************************************************************

Forse ora è meglio che consideri seriamente di reinstallare privoxy + adblock plus per firefox, cambiare dns abbandonando i fooldns…

Lettera aperta al Ministro Brunetta

Tradotto: a scuola non si devono formare consumatori ma liberi cittadini.

Leggete e diffondete…

Jurassic Park e filosofia Slack

Quando, 16 anni fa, andai al cinema a vedere Jurassic Park non mi accorsi di alcuni particolari nerd.

Perché solo ora noto una certa somiglianza con…

E quindi con…

Senza contare l’uscita, verso il finale, di questa affermazione

Più terminali e più log in ssh

Caso d’uso

Ci logghiamo da remoto al nostro server OpenSSH poi, a un certo punto, mentre stiamo lavorando cade la connessione. Ci dobbiamo riloggare ma un’istanza della connessione rimane comunque aperta (controllate con ps ax). Oltretutto qualsiasi programma che avevamo lanciato dalla vecchia istanza continua a girare senza nessun controllo da parte nostra: lo killiamo o non lo killiamo e aspettiamo? Tipo se stavamo aggiornando con pacman…bella rogna vero?

Altro esempio. Siamo sul nostro terminale remoto e dobbiamo controllare più log in contemporanea ovvero osservarne due sulla stessa istanza di terminale aperta…come si fa?

Soluzione

Per il primo caso ci può affidare a screen. Anche se ci cade la connessione possiamo comunque agganciarci all’istanza di screen che abbiamo perso e ritrovarci il programma che avevamo lanciato continuare nel suo lavoro.

Per il secondo caso ci si può affidare a multitail. Apre più finestre nella stessa finestra di terminale e in ognuna un log scelto da noi. Consiglio: meglio usare multitail nelle tty cioé dando CTRL+ALT+F1, se non si fa così le combinazioni di tasti potrebbero venire intercettate da gnome-terminal, terminal ecc…

I have a plan

E non è (installare) plan 9 … né quello dei Cylon … ma neanche quello del Joker…

Mi sto soltanto prendendo d’anticipo, mi è venuta voglia di scrivere una serie di propositi per l’anno nuovo:

• trovare un lavoro nell’IT, uno qualsiasi, anche sottopagato. I tirocini vanno bene, dove sono adesso mi sto pure divertendo, ma avere anche un introito non mi farebbe schifo. Lunedì ho pure un colloquio per un ente pubblico, c’è scritto che se non ci si presenta è intesa come rinuncia. Io ho la soluzione ma sto prima a farvi vedere il video
• realizzare un server virtuale sul mio pc fisso ma mi spiego subito meglio, sennò vengo frainteso. Voglio sfruttare VirtualBox per avere come host Arch Linux mentre, come guest, una Ubuntu Server o Debian. Giusto per imparare i concetti principali; sono pieno di guide fra mensili e siti su come gestire un server ed erogare servizi di ogni genere per i client;
• costruirmi un media center, sfruttando MythTv, sul portatile in una partizione separata. Cioè senza incasinarmi la Arch Linux e installando Mythbuntu. Il mio problema è che in fatto di hardware sono una capra e sto cercando dei ricevitori del digitale terrestre e telecomandi compatibili;
• comprare una nuova scheda video al pc fisso che ormai è da mesi che ho deciso marca e modello (mancano solo i soldi);
• varie ed eventuali…

Citazione citabile

La gente dice che dovrei accettare il mondo. Stronzate! Io non accetto il mondo. Richard Stallman, fondatore del progetto GNU

E non penso si riferisse, come me, solo al mondo IT.

Arch Linux: Phoronix con GUI

Avendo intenzione di fare dei benchmark dopo ogni cambiamento, sulla mia macchina con Arch Linux, ho deciso di installare Phoronix-test-suite. Usando anche la GUI.

Per ottenere questo bisogna installare php-gtk (il binding php per le librerie gtk) ma questo, al momento attuale, funziona solo con php<5.3.

Installazione del necessario

Ho trovato la soluzione su AUR. Da qui ho prelevato sia php 5.2 che php-gtk. Scompattati e installati con

$ makepkg -scir

Non uso yaourt e non ho intenzione di farlo! Fatto questo non resta che installare phoronix-test-suite

# pacman -S phoronix-test-suite

Configurazione

Qui ho trovato un dilemma. Facendo partire l’applicazione con le configurazioni php per php-gtk bisogna eseguire una roba del genere

$ php -c /etc/php/php-gtk.ini /usr/share/phoronix-test-suite/pts-core/phoronix-test-suite.php gui

Come se non bastasse i vari risultati dei test tentavano di essere salvati su tale directory (ovviamente impossibile: perché il tutto è di proprietà di root). Quindi ho adottato una soluzione drastica

# cd /etc/php
# mv php.ini php.ini_back
# mv php-gtk.ini php.ini

Finalmente così possiamo dare

$ phoronix-test-suite gui

senza colpo ferire.

Conclusioni

I nostri file di configurazioni, i test, risultati dei test verranno salvati in ~./phoronix. La GUI funziona un po’ male; apre molte finestre inutili durante i test che possono essere tranquillamente chiuse alla fine e alcuni test non riesco a installarli (ma provando dalla CLI il risultato è medesimo). Ora mi resta solo da capire come fare i confronti con test fatti su altre macchine…ma per questo c’è tempo!

ssh: denyhosts

Configuare OpenSSH a prova di bomba

Siamo talmente paranoici che abbiamo fatto, quasi, tutto quanto consigliato qua per rendere il nostro server con OpenSSH a prova di bomba. Per un uso casalingo io non ho impostato però nessun firewall (mi fido delle impostazioni che ho messo sul mio router netgear dg834g) cioè nessuna regola di iptables sul sistema dove è veramente installato OpenSSH server.

Fregare gli attacchi brute-force

L’unica cosa che mi scoccia sono questi essere infimi, e poco pericolosi, chiamati script-kiddies che tentano degli attacchi brute-force sulla porta 22. Non che sia una gran scocciatura ma i file di log, più precisamente i /var/log/auth.log, tendono a riempirsi paurosamente. Ho trovato una soluzione KISS usando un programma, scritto in Python, chiamato denyhosts. Il concetto è semplice: si guarda i file di log e se un determinato IP fallisce la connessione ssh lo blocca ficcandolo in /etc/hosts.deny.

Una precisazione su come funzionano /etc/hosts.allow e /etc/hosts.deny. Questi sono dei file che configurano il TCP Wrapper: una spiegazione esaustiva si trova negli Appunti di Informatica Libera di Daniele Giacomini. Riassumendo: se un IP è regolamentato da una regola in /etc/hosts.allow tutto fila liscio, se invece questo IP non è previsto in /etc/hosts.allow il sistema guarda /etc/hosts.deny. Quindi in /etc/hosts.allow, se vogliamo fare in modo che gli IP della nostra sottorete non vengano bloccati, mettiamo questa riga:

sshd: 192.168.0.0/255.255.255.248

Ovviamente questo è solo un esempio preso dalla mia configurazione. Se non sapete niente di reti e sottoreti non capirete una tega, forse potrebbe venirvi in aiuto il programma ipcalc:

ma anche Wikipedia…se non basta fatevi un corso universitario di Reti di Calcolatori o leggetevi un libro a riguardo o rompete i coglioni a un SysAdmin (non io: non lo sono!).
In /etc/hosts.deny non mettiamo nulla: se ne occuperà automaticamente denyhosts. Per esempio una riga che aggiunge denyhosts è la seguente (ovviamente l’IP bloccato è di fantasia):

# DenyHosts: Sat Nov 21 13:05:13 2009 | ALL: 123.123.123.123
ALL: 123.123.123.123

Figo no? Ora non ci resta che editare il file di configurazione di denyhosts che si trova, su Arch Linux, in /etc/denyhosts/denyhosts.cfg.

Configurazione di denyhosts.cfg

Prendo paro paro il mio file di configurazione con una spiegazione tutta mia. Le FAQ sul sito e i commenti su denyhosts.cfg sono molto esaustivi ma degli esempi in più non fanno mai male e non vi faranno sicuramente schifo (vero?). Comunque sia sto usando la versione 2.6 di denyhosts.

SECURE_LOG = /var/log/auth.log Ovviamente questo è il file che denyhosts parsa per andare a pescarsi gli IP da bannare.

HOSTS_DENY = /etc/hosts.deny In un sistema Linux è qui che ci sono le regole per il TCP Wrapper degli IP a cui è vietato l’ingresso nel sistema.

PURGE_DENY = 2d Ricordo che stiamo parlando di uso domestico, quindi abbiamo un indirizzo dinamico raggiungibile magari, con l’ausilio di dyndns come ho fatto io, con un URL www. Ma abbiamo sempre un indirizzo dinamico e ad ogni caduta di connessione (grazie Telecom) cambiamo spesso IP. Quindi gli script-kiddies non punteranno sempre a noi pensando che siamo sempre noi cambiando, magari, gli username e password. Insomma non siamo un bersaglio fisso! Quindi è inutile riempire /etc/hosts.deny di IP. Anche perché magari pure gli script-kiddies hanno IP dinamici come tutti i comuni mortali (a parte i compuer zombie ma si spera di no). Quindi è meglio ripulire /etc/hosts.deny abbastanza spesso. 2d infatti sta per 2 day: due giorni.

BLOCK_SERVICE = ALL Ok, abbiamo solo sshd attivo come servizio. Sarebbe più logico mettere BLOCK_SERVICE = sshd. De gustibus. Questo cambia ovviamente le occorrenze di /etc/hosts.deny che dal mio esempio precedente diventerebbero

# DenyHosts: Sat Nov 21 13:05:13 2009 | sshd: 123.123.123.123
sshd: 123.123.123.123

Denyhosts è molto configurabile, può controllare o tutti i servizi o solo quello che vogliamo noi.

DENY_THRESHOLD_INVALID = 2 Ogni due tentativi da parte di un username invalido (che non esiste sul sistema o che non è specificato in AllowUsers o AllowGroups in /etc/ssh/sshd_config) l’IP viene bannato. Metti che uno al posto di scrivere cicciobanza scrive cicciobnza…lo banniamo subito? Diamogli una seconda possibilità.

DENY_THRESHOLD_VALID = 3 Diamo invece tre tentativi a un user valido nel sistema, magari ha la giornata storta e sbaglia la password (che comunque, siamo stati bravi, è un’autenticazione chiave pubblica/privata).

DENY_THRESHOLD_ROOT = 1 Diciamo che se uno tenta subito root lo banniamo immediatamente..vero?

DENY_THRESHOLD_RESTRICTED = 1 Questa è una sboronata. Possiamo specificare degli username (in /var/lib/denyhosts/restricted-usernames) a cui possiamo dare tot tentativi. Io ho messo 1 perché ci metto i classici: mysql, test, user…i soliti username che non andrebbero mai usati…

WORK_DIR = /var/lib/denyhosts Si commenta da sola, io la lascio così di default e consiglio di fare altrettanto!

SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES A dire la verità non ho ben capito. Sembra che denyhosts si faccia dei sospetti di attacco anche sugli hosts della nostra sottorete e ci avverta di questo. Ho lasciato YES ma approfondirò in seguito…

HOSTNAME_LOOKUP=NO A dire la verità non ho capito molto questo. Non ho capito cosa se ne faccia denyhosts del nome host dell’IP associato che blocca. Approfondirò anche questo…

LOCK_FILE = /var/run/denyhosts.pid Si commenta da solo, lasciamolo così com’è.

ADMIN_EMAIL = Lo lascio vuoto, non ho nessun Postfix o simili installato sul sistema che invii mail di avvertimento quindi…

AGE_RESET_VALID=1m Resetta i tentativi, dopo un minuto di inattività, di un utente valido. Del tipo, scannate password, aspettate un minuto: avete ancora 3 tentativi (riguardate DENY_THRESHOLD_VALID).

AGE_RESET_ROOT= Se uno tenta root non gli diamo altre possibilità.

AGE_RESET_RESTRICTED= Se uno tenta mysql non gli diamo altre possibilità.

AGE_RESET_INVALID= Se uno tenta un utente invalido non gli diamo altre possibilità.

DAEMON_LOG = /var/log/denyhosts Si commenta da solo. Comunque è meglio aggiungere /var/log/denyhosts in /etc/logrotate.d/syslog-ng in modo che logrotate faccia la rotazione anche dei log di denyhosts.

DAEMON_SLEEP = 1m Ogni minuto denhyhosts controlla i file di log. Ci saranno comunque dei tentativi, in un minuto, gli script kiddies provano circa 5-10 username al colpo.

DAEMON_PURGE = 1h Il periodo, quando denyhosts è daemonizzato, con il quale controlla le occorrenze di /etc/hosts.deny e le toglie (in base ovviamente a PURGE_DENY)

Queste sono configurazioni base e utili per un sistema casalingo. Più fico sarebbe sincronizzare /etc/hosts.deny anche con IP bannati da altri che usando denyhosts e che condividono le informazioni (tutto sempre configurando denyhosts.cfg) ma è troppo per noi. Io ho provato ma, come ho già detto, non siamo bersagli fissi.

device usb: che filesystem?

Molte volte mi sono chiesto quale filesystem usare per i device usb (intendo le chiavette di memoria o come cavolo si chiamano).

I vari filesystem hanno i loro pro e i loro contro. Proprio in questi giorni phoronix ne ha testato alcuni e i risultati si possono vedere qui.

Quindi mi sono deciso, usando principalmente macchine linux, di prendere la mia kingston da 8GB e metterla in ext4 (ovviamente senza journaling). Mi è stato d’aiuto questo post letto qualche tempo fa.

Prima ho creato la partizione con gparted (accidia portami via) e poi ho tolto il journaling con dumpe2fs. Ovviamente si può anche creare da zero con mkfs e le stesse opzioni per dumpe2fs (ma non ho provato). Infine ho dato un bel

chmod -R 777 /dev/sdc

Per i test finali lascio a voi. Io sono abbastanza soddisfatto.

Non capisco gli script-kiddes

Non capisco questi bimbominkia. Cazzo stanno tutto il giorno a lanciare lo stesso script (non scritto da loro) per tentare un brute-force per ssh sulla porta 22?

Ma sopratutto: cazzo si tengono pure loro il server ssh accessibile sulla porta 22…con l’utente root abilitato? -_-”

PS rigiragli un brute-force (con uno script scritto dal sottoscritto) non ha prezzo.