Archivio per il 'Sicurezza'Categoria

FoolDNS beta tester

Marzo 22, 2009

Eh sì, anche io sono un beta tester dei DNS forniti da FoolDNS.

Devo dire che, a livello pratico, ho disattivato l’add-on di firefox adblock plus e che rispetto agli OpenDNS si ha una velocità di query del 40% in più (non ho fatto statistiche evolute, ogni tanto provo manualmente con dig sul terminale).

Dato che FoolDNS blocca le pubblicità (e ci riesce nel 99% dei siti che visito) viene duramente criticato. Ma se io, consapevolmente, non voglio continuamente vedere dei cazzuttissimi banner pubblicitari, che non ho mai clickato in vita mia, cosa tange all’economia globale? Cosa cambia rispetto a prima? Cosa cambia rispetto a quando usavo l’estensione adblock plus?

Allora immagino che a questi personaggi, a cui piace tanto vedersi dei cazzi di banner che ti invitano su qualche sito dato che è il 99999999 accesso effettuato, non gli scazzino nemmeno quelle merdose telefonate di pubblicità che arrivano, dai call-center, sul telefono di casa alle 7 di sera proponendo una vantaggiosa offerta riguardo “qualcosa”. Oppure quelle cazzo di pubblicità in televisione delle cartomanti sulle reti private o quelle dei pannolini pieni di pupù trasmesse durante il pranzo.

PS riguardo alle telefonate rompi-cazzo-della-sera, se voglio cambiare gestore telefonico lo decido quando voglio io. Se il gestore dell’enel vuole cambiarmi un tariffario e farmi quello più conveniente per me la cosa puzza, cosa gli viene in tasca all’enel che la mia bolletta sia più leggera se sono già cliente della loro azienda?

Pubblicato su ICT, Rete, Sicurezza, Televisione | 1 Commento »

certificati (SSL) mancanti

Luglio 23, 2008

Non so come mai ma la cartella

/etc/ssl/certs/

risultava vuota. Ergo qualsiasi sito con una catena di certificati valida non risultava valido! Ohibò…ho reinstallato ca-certificates (il pacchetto che si occupa di validare i certificati) e ha ricreato i link simbolici su tale cartella e facendo un suo update…ora è tutto risolto! Finalmente posso navigare senza che konqueror rompa sui certificati, risolsi l’arcano mistero (ma non da dove venissie)

sudo pacman -S ca-certificates

[...omissis...]
Clearing symlinks in /etc/ssl/certs…done.
Updating certificates in /etc/ssl/certs….done.
Running hooks in /etc/ca-certificates/update.d….done.

PS so che sul planet si legge ugaciaka:ugaciaka invece del nome del post ma non so come risolvere…se qualcuno ha qualche idea…

Pubblicato su Arch Linux, Free software & Open source, Linux, Sicurezza, Tips & Tricks | Lascia un commento »

Cerco un’unità NAS domestica

Giugno 29, 2008

Sto cercando disperatamente un’unità NAS, qualcuno sa consigliarmi?

Vi dirò alcune caratteristiche:

- che sia di una marca notoriamente specializzata in questo ramo (tipo l’asus per me MoBo), pensavo alla Western Digital

- io ho un router wifi e vorrei che il NAS si attaccasse all’ethernet del router mentre accedo al NAS tramite il router dal pc di casa (mi sembra ovvio che debba funzionare ma non ne sono sicuro),

- che possa contenere due dischi (non ci sono limiti per dimensioni in GiB vero? perché vorrei ficcarne due da 750GB…un tera e mezzo per ora forse mi basta)

- che sia silenzioso

- consumi poco

- che magari abbia una distro linux interna da hackerare (che ne so…per installarci bittorrent)

- il nas mi serve per backappare tutti i miei film e ne ho tanti (in DVD dual layer…quindi sui 8GiB ciascuno) , tutta la mia musica (ho intere discofrafie originali)…E non sto scherzando forse quei 1tera e mezzo forse non mi basteranno …

- ultimo ma non meno importante: sono disposto a spendere intorno a 200euro, anche senza HD incorporati (ne ho uno da 250 e uno da 500 della western digital)

Grazie ;-)

EDIT:

o questa unità NAS oppure un pc assemblato. Quest’ultimo del tipo un bel procio che consumi poco, poca ram a pochi ghz, tower piccolo, scheda madre asus; il tutto da controllare tramite SSH e NFS.
Entrambi le soluzioni si aggirano sui 300euro.

RIEDIT: infatti guardate cosa ho trovato per 300 euri

RIRIEDIT: grazie al forum di www.unipd.net mi hanno consigliato questa derivata di freeBSD fatta apposta per installare un SO per un NAS!

Pubblicato su Hardware, ICT, Linux, Rete, Sicurezza | 3 Commenti »

Ralink per WL-167G e custom kernel

Giugno 21, 2008

Come promesso scrivo la guida per installare i driver con *buntu 8.04, compilandoli da sorgenti, per la WL-167G dell’Asus quando si ha un kernel customizzato e vogliamo i driver più aggiornati.

Scarichiamo i sorgenti
Usiamo ovviamente i compat-wireless (contiene anche molti altri driver oltre ai nostri)

wget http://linuxwireless.org/download/compat-wireless-2.6/compat-wireless-2.6.tar.bz2

Il firmware
Per far funzionare i driver serve il firmware, purtroppo no opensource, scarichiamolo con

wget http://www.ralinktech.com.tw/data/RT71W_Firmware_V1.8.zip

Sì, casomai ci facciate caso anche per la intel 3945 serve il firmware…

Scompattiamo la cartella

gunzip RT71W_Firmware_V1.8.zip

entriamo nella cartella scompattata

cd RT71W_Firmware_V1.8/

e spostiamo il firmware nella cartella /lib/firmware

sudo mv rt73.bin /lib/firmware/

Rimuoviamo i componenti non necessari
Per essere sicuri che finisca tutto liscio prima di compilare ed installare i driver da sorgenti scarichiamo dal kernel quelli di ubuntu

sudo rmmod rt73

Compiliamo ed installiamo
Scompattiamo ed entriamo nella cartella

tar xjvf compat-wireless-2.6.tar.bz2
cd compat-wireless-2.6

compiliamo

make
sudo make install

ed installiamo

sudo make unload
sudo make load

Ora il gioco è fatto

ugaciaka@eclipse:~$ modinfo rt73usb | grep version
version: 2.1.7
srcversion: DA51F4772B0889CE02618DC

Conclusioni
Ovviamente questa guida è stata adattata per un kernel customizzato che non vede il firmware già presente nella cartella del kernel patchato di ubuntu. Infatti la stessa guida può essere seguita per un kernel generic che non ha bisogno di “vedere” il firmware essendo già messo in

/lib/firmware/”kernel generico”

Il tutto è spiegato

qua

per i compat wireless in generale

Pubblicato su *buntu, Free software & Open source, Hardware, Linux, Rete, Sicurezza | Lascia un commento »

Intel 3945 su ubuntu 8.04

Giugno 19, 2008

Breve guida su come far funzionare la scheda WiFi 3945 di Intel. Naturalmente tutto testato con wpa essid nascosto e ip statici.

Ho scritto la guida per installare i driver con il kernel ricompilato dimenticandomi di scrivere come usarli: come si configura ora? Bene adesso lo spiegherò.

Ovviamente alcuni parametri dovete saperli voi, tipo la vostra password, gli indirizzi ip della vostra rete ecc ecc

Prima di tutto

Innanzitutto assicuriamoci che compaia una wlan0 tramite il comando ifconfig. Se non c’è avete fatto qualche castroneria, quindi cazzi vostri.

Fatto questo tiriamo giù eth0 e su wlan0 (ovviamente adattate le vostre situazioni)

sudo ifconfig eth0 down
sudo ifconfig wlan0 up

Ora con iwconfig dovrebbe comparire wlan0 (wmaster0 non toccatela, è una periferica fittizia)

Configuriamo l’interfaccia di rete

ugaciaka@echoes:~$ cat /etc/network/interfaces
auto lo
iface lo inet loopback

#auto eth0
#iface eth0 inet dhcp

auto wlan0
iface wlan0 inet static
address indirizzo_ip_adattatore
netmask 255.255.255.0
gateway indirizzo_ip_router
wireless-essid nome_rete_essid
wireless-channel 11
wpa-driver wext
wpa-conf /etc/wpa_supplicant.conf

L’eth0 la lasciamo là, così almeno possiamo connetterci a internet (se qualcosa dovesse andare storto) con l’ethernet decommentando quelle righe, commentando quelle relative alla sezione wlan0 e riavviando le interfacce

ugaciaka@echoes:~$ sudo /etc/init.d/networking restart

e/o

ugaciaka@echoes:~$ sudo dhclient3 eth0

Ovviamente ammesso e concesso che il vostro router abbia il DHCP (momentaneamente) attivato.

Configuriamo per il wpa wpa_supplicant.conf

wpa_passphrase nome_rete password

riceverete (dopo l’inserimento della password per la rete)

#
reading passphrase from stdin
password
network={
ssid=”nome_rete”
#psk=”password”
psk=82b8b0bad290450d6e8476a1ae27a40aae0c2c28278bf98be028ee3ae57645db
}

Ottenute queste informazioni creiamo un il file qui sotto e ci mettiamo anche questi parametri

ugaciaka@echoes:~$ cat /etc/wpa_supplicant.conf
ctrl_interface=/var/run/wpa_supplicant
fast_reauth=1
network={
ssid=”nome_rete”
proto=WPA
key_mgmt=WPA-PSK
pairwise=TKIP
group=TKIP
#psk=”password”
psk=82b8b0bad290450d6e8476a1ae27a40aae0c2c28278bf98be028ee3ae57645db
}

Infine deamonizziamo tutto con

sudo wpa_supplicant -Dwext -iwlan0 -c /etc/wpa_supplicant.conf -dd -B

Risoluzione di un bug

Esiste un bug fastidioso riguardante i driver installati in hardy che non rileva le reti all’avvio. Risolvibile con questo trucchetto: si crea un file nelle regole di modprobe che faccia questo per noi!

ugaciaka@echoes:~$ cat /etc/modprobe.d/iwl3945
alias wlan0 iwl3945
options iwl3945 disable_hw_scan=1

Infine

Ok, ora avete quasi tutto. Riavviate il computer o

ugaciaka@echoes:~$ sudo /etc/init.d/networking restart

e buona fortuna.

Pubblicato su *buntu, How-to, Linux, Rete, Sicurezza | Lascia un commento »

rsync, ssh e porta diversa dalla 22

Maggio 25, 2008

Volevo fare un’intelligente trasferimento di backup fra fisso e portatile. Ovviamente, penso, usiamo rsync…non va un cazzo! E perché? Perché da bravo mona sul portatile ho cambiato la porta standar (su /etc/sshd/sshd_config) da 22 a un’altra, tutto per la mia paranoia di sicurezza. La soluzione? Modificare un pelino il comando che do di solito, più o meno risulta una roba del genere

rsync –verbose –progress –stats –recursive –times –perms –links –compress -e “ssh -p 1234″ /home/ugaciaka/Musica/ ugaciaka@portatile:/home/ugaciaka/Musica

Ovviamente da sostituire con i parametri (1234 e portatile…), spero possa essere utile.

Pubblicato su Linux, Rete, Sicurezza, Tips & Tricks | Lascia un commento »

Controllare salute hard disk

Maggio 24, 2008

Ogni tanto bisogna pur controllare lo stato di salute degli HD, in fondo una testina che va su e giù e il disco che gira tutto il giorno aumentano la probabilità di qualche problema HW.

Installazione

Bene installiamo il necessario

sudo apt-get install smartmontools

HD *ata

Supponiamo che voi abbiate un sata o pata, quello che è insomma, e che sia il sda il disco da controllare…

sudo smartctl -d ata /dev/sda

così abilitate il controllo su quel disco oppure se non va (spero di no a me va sempre)

sudo smartctl -d ata -s on /dev/sda

poi facciamo un controllo veloce

sudo smartctl -d ata -t short /dev/sda

lo lasciate lavorare per il tempo che chiede…di solito 2-3 minuti
Poi controllate

sudo smartctl -d ata -l selftest /dev/sda

Se compare tipo una roba del genere

Num Test_Description Status Remaining LifeTime(hours) LBA_of_first_error
# 1 Short offline Completed without error 00% 4642 -

niente paura, vi sta solo dicendo

  • che ha finito (00%),
  • che l’hard disk ha vissuto 4642 ore che NON sono quelle che gli rimangono da vivere ma quelle che ha già vissuto (e credo che si riferisca a ore di consumo, non ore di quanto è stato usato il disco)
  • che non ci sono errori -

HD ide

Tutto funziona uguale, basta togliere l’opzione -d ata ai comandi

Se proprio non va…

Vediamo se gli HD sono compatibili con questo tool..

sudo smartctl -i /dev/hda

Per controlli più accurati…

Per controllare più accuratamente il tutto, quindi ci vuole mooooooooolto tempo,

sudo smartctl -t long /dev/sda

Per interrompere

sudo smartctl -X

Per saperne di più

Basta dare il comando

sudo smartctl -a /dev/sda

Vi renderà noto tutti i parametri che usa per sapere se un disco è in buona salute o no, per esempio a me la temperatura massima ha sforato solo una volta (dopo ho comprato una ventola sparata sugli HD nella parte sotto del case e poi una sopra che butti fuori l’aria, ora va tutto ok…)

Per controlli meno accurati…

Se siete nella condizione:

Oh cazzo il disco fa strani errori

oppure

Questo disco è vecchio come mia nonna

Forse non è il caso di fare i test descritti sopra, meglio dare una controllata velocissima con

sudo smartctl -d ata -H /dev/sda

Se ottenete Failed meglio che copiate i vostri dati da qualche altra parte e buttate via il disco!

Con una interfaccia grafica

Esiste anche una interfaccia grafica molto carina e facile da usare: gsmartcontrol. Sulle tabelle riassuntive cerca anche di spiegare cosa significhino i vari parametri. Consiglio di darci un’occhiata.Screenshot

Pubblicato su *buntu, Free software & Open source, Hardware, How-to, Linux, Sicurezza | 5 Commenti »

wg111v2 su debian con ndiswrapper e wpa

Maggio 14, 2008

(Ri)Scrivo esclusivamente questa guida per debian, in quanto per *buntu 8.04 sembra non più funzionare in modo totale.

Oltretutto, dall’ultimo kernel disponibile su www.kernel.org, a ndiswrapper non verrà più permesso di essere compilato come modulo; questa amara decisione è stata presa da Linus in persona in quanto, secondo lui, violerebbe la GPL della sua creatura (non essendo infatti i driver per Windows rilasciati sotto stessa licenza).

Comunque questa guida è presente anche qui qui per *buntu e qui e qui per debian etch.

Leggi il seguito di questo post »

Pubblicato su Debian, Hardware, How-to, Linux, Rete, Sicurezza | 4 Commenti »

crittografare cartella

Maggio 13, 2008

Siete alla ricerca di un qualcosa che metta al sicuro i vostri dati da occhi indiscreti? Bene, la risposta è una sola: crittografia.

La cosa è molto semplice su linux (come tutto del resto), sopratutto sulle distibuzioni debian (o derivate), come appunto *buntu. Premetto che io ho testato tutto su una kubuntu 7.10, 8.04 e debian etch. Incominciamo (comunque non mi prendo nessuna responsabilità dell’uso di quanto spiegato in seguito).

Leggi il seguito di questo post »

Pubblicato su *buntu, Debian, Free software & Open source, How-to, Linux, Sicurezza | 2 Commenti »

ssh e dintorni

Maggio 11, 2008

Finalmente incomincio ad entrare nei meandri di ssh. La secure shell, praticamente come connettersi in sicurezza al vostro pc fisso tramite il portatile. Ovviamente questo è un esempio, il mio.

Ho seguito questa guida sul wiki italiano di ubuntu. Volevo fare in modo che il portatile si connettesse al fisso tramite chiave pubblica/privata. Naturalmente da bravo pirla (mi ricordavo male dai corsi universitari) facevo esattamente l’incontrario, esportavo la chiave pubblica sul portatile mentre è da fare l’incontrario. Cerchiamo di capire come funziona.

  • Il Client si connette al Server e l’utente accetta il server fra gli host a cui si connette (tramite una fingerprint o la chiave pubblica del server, di solito è la prima che ho scritto). L’utente può accettare l’host Server solo se questa è la prima connessione verso quel Server. Successivamente, se non ci sono problemi, questo passo non verrà più fatto. I problemi invece nascono quando il Server cambia chiave pubblica o fingerprint, questo è dovuto di solito a reinstallazioni o veri attacchi alla sicurezza da parte qualche malintenzionato che vuole sostituirsi al Server.
  • Ora si è creato un canale che si occuperà anche di garantire l’integrità dei dati (significa che siamo sicuri che il mittente sia il mittente e che il messaggio consegnato non sia stato modificato). In questa fase Client e Server si mettono d’accordo per una cifratura simmetrica del canale.
  • Prima di accedere alla shell il Client deve autenticarsi al Server. Questo si fa avendo esportato preventivamente la chiave pubblica del Client sul Server.
  • Il server autentica il Client tramite il fatto che: il Client cifra i messaggi da inviare al Server con la propria chiave privata, il Server decifra con la chiave pubblica di A. Se tutto ok il Client accede finalmente alla shell del server.
  • La connessione fra i due host è finalmente instaurata e possiamo impartire comandi al Server.

Praticamente ci si autentica tramite la crittografia asimmetrica. Notiamo che qui non si usa la crittografia asimmetrica per cifrare i messaggi inviati ma solo per autenticarsi (infatti per spedire messaggi cifrati il mittente cifra il messaggio con la nostra chiave pubblica e si decifra con la nostra chiave privata, esattamente l’incontrario dell’autenticazione). Invece viene usata la crittografia simmetrica per cifrare i messaggi in entrambi i sensi Server-Client, Client-Server.

Aggiungo che su OpenSSH si possono usare due algoritmi di cifratura per autenticarsi RSA o DSA, a voi la scelta.

Realizzato come si forma una connessione sicura con il Server ho poi creato uno script sshVNC che mi permette (essendo salvato in /usr/local/bin come eseguibile) di fare anche il VNC, ovviamente il Client è sempre il Portatile mentre il Server è il fisso

xinit /etc/X11/xinit/xinitrc — /usr/bin/Xephyr :1 -screen 80

anzi, non è neanche uno script perché non ho messo nemmeno il classico

#!/bin/sh

Ovviamente prima di lanciare questo script bisogna installare sul fisso xserver-xephyr, accedere tramite il portatile utilizzando

ssh -X utente@fisso

e poi una volta entrati lanciare lo script.

Per finire cambiando le configurazioni di

/etc/ssh/sshd_config

al posto di 20 ho messo un’altra porta per il servizio (ovviamente deve essere un numero maggiore di 1024, infatti le porte entro questo range sono prenotate da servizi standard) aprendo anche il firewall del router di conseguenza (solo se volete connettervi dall’esterno della vostra rete locale). Naturalmente ora per connettersi al server è necessario anche specificare la porta con il parametro -p

ssh -p porta user@indirizzoserver

Ora oltre che connettersi con la classica shell, usare il VNC si può con konqueror navigare nella /home del fisso tramite l’indirizzo ftp://utente@indirizzofisso.org. Dato che digitare sempre l’indirizzo è noioso perché come ultima chicca non creare un collegamento sul portatile che punta a tale indirizzo?

Ok, ma come fare per controllare se qualcuno tenta di bucare la mia rete?

cat /var/log/auth.log | grep ssh

Pubblicato su Linux, Rete, Sicurezza | Lascia un commento »