Temporini Matteo

L’ho atteso ieri notte invano…. l’ho atteso oggi al lavoro invano… e finalmente è nelle mie mani!!!!

Consiglio il download da ftp://mozilla.isc.org/pub/mozilla.org/firefox/releases/3.0/win32/it/ visto la mole di lavoro che sta stressando il sito in questo momento!

La saga dei miei piccoli how-to sulle configurazioni di mrtg non finisce.

Questa volta mi serviva avere uno strumento per controllare il carico di lavoro del dns, dove per carico di lavoro non intento i carichi della CPU (già discussi nell’articolo sulla configurazione dell’snmp di questo sito).

Un buon parametro per effettuare questi contorlli su un DNS (Domain Name System) è il numero di query al minuto che vengono fatte, in tal modo è possibile avere una cronostoria e una rappresentazione di questo parametro che ci permette di valutare il numero delle richieste ed eventualmente evidenziare potenziali anomalie (es: un tetnativo di DDoS sulla porta 53 con un numero elevato di query).

Il numero di query sul dns non verrà generato a partire da un parametro snmp, bensì da uno script che effettua il parsing dei file di log del bind.

Per ottenere questi log dobbiamo modificare il file /etc/bind/named.conf.options (se avete un unico file probabilmente sarà /etc/named/named.conf o /etc/bind/named.conf) ed aggiungere le seguenti righe:

zone-statistics yes;
statistics-file "named.stats";

e rivviamo il named con

/etc/init.d/named restart

oppure

/etc/init.d/bind9 restart

a seconda della distribuzione che utilizzate. Ora all’interno del file /var/cache/bind/named.stats avrete delle statistiche sul numero di query per i singoli domini.

Il named ora è configurato correttamente, dobbiamo utilizzare i fati contenuti in nel file named.stats e utilizzarli con mrtg per generare i grafici.

Questo viene fatto utilizzando uno script (lo potete scaricare tramite wget).

Salviamo il file all’interno della cartella /etc/mrtg/ o dove avete le vostre configurazioni di mrtg ed editiamo il file /etc/mrtg/mymrtg.cfg aggiungendo quanto di seguito riportato

Target[mydomain_DNS]: `/etc/mrtg/dnsstats.pl`
Options[mydomain_DNS]: gauge,growright,nopercent,integer,unknaszero
Title[mydomain_DNS]: DNS Server
RouterUptime[mydomain_DNS]: public@localhost
MaxBytes[mydomain_DNS]: 32000
AbsMax[mydomain_DNS]: 64000
WithPeak[mydomain_DNS]: wmy
Colours[mydomain_DNS]: YELLOW #F9C000,RED #F90000,LIGHT YELLOW #FFFFBB,LIGTH RED #FF8080
ShortLegend[mydomain_DNS]:queries/m
YLegend[mydomain_DNS]: Qs per Minute
Legend1[mydomain_DNS]: Queries received over 1 minute
Legend2[mydomain_DNS]: Failed Queries received over 1 minute
Legend3[mydomain_DNS]: Maximal Queries over 5 minutes
Legend4[mydomain_DNS]: Maximal Failed Queries over 5 minutes
LegendI[mydomain_DNS]: Queries:
LegendO[mydomain_DNS]: Failures:
PageTop[mydomain_DNS]: <H1>DNS Info</H1><TABLE><TR><TD>System:</TD> <TD>mydomain</TD></TR><TR><TD>Maintainer:</TD> <TD>Matteo Temporini (temporini.matteo@gmail.com)</TD></TR><TR><TD>Description:</TD><TD>DNS Monitor</TD></TR><TR><TD>Details:</TD> <TD>Query Monitor</TD></TABLE>

Mi raccomando fate attenzione che l’ultimo parametro stia tutta sulla stessa riga o vi darà errore.

Ora non ci resta altro da fare che rigenerare l’index.html di mrtg con il nuovo parametro

indexmaker --output=/var/www/html/mymrtg/index.html /etc/mrtg/mymrtg.cfg

e gustarci i nostri grafici che vedete qua sotto

Come al solito le problematiche al lavoro sono le più disparate, oggi mi sono dovuto occupare del tuning di un firewall che utilizzo sul lavoro.

Nello specifico per ragioni di comodità e facilità d’uso (purtroppo non sono l’unico a utilizzarei server e devo badare anche a questo aspetto), utilizzo firestarter.

Si tratta di un firewall molto semplice da utilizzare anche ai “non addetti ai lavori“, in quanto non si tratta altro che di un semplice front end grafico per iptables, assai più ostico da utilizzare per i principianti.

Questo breve documento non si occuperà pertanto di configurare il firewall (discretamene semplice anche senza documentazione) ma semplicemente spiegherà come apportare direttamente delle modifiche tramite iptables che sono escluse dalle casistiche previste dal frontend.

Il firewall l’ho configurato in un modo molto semplice, ho messo come policy di default tutto in drop, ed ho aggiunto le eccezioni per i servizi che mi interessavano.

Pertanto la mia situazione di partenza era che qualunque pacchetto inviato da e verso la macchina veniva scartato ad eccezione di: webserver, dns e posta.

Ora il problema che mi si era posto era il seguente: avevo dei simpatici “amici” che non avevano nulla da fare e ogni tanto senza preavviso iniziavano a dossare una macchina, e l’unica soluzione possibile senza dover intervenire sulla dorsale (di cui ovviamente non ho il minimo controllo) era di fare in modo che venissero scartate le connessioni di quella specifica rete.

La soluzione è stata molto semplice, con firestarter basta editare il file

[root@localhost ~]# nano /etc/firestarter/user-pre

e a questo punto aggiungere i comandi di iptables che ci interessavano, ad esempio

iptables -A INPUT -d 195.54.0.0/20 -j DROP
iptables -A INPUT -s 195.54.0.0/20 -j DROP
iptables -A OUTPUT -d 195.54.0.0/20 -j DROP
iptables -A OUTPUT -s 195.54.0.0/20 -j DROP
iptables -A FORWARD -d 195.54.0.0/20 -j DROP
iptables -A FORWARD -s 195.54.0.0/20 -j DROP

In tal modo vengono droppate tutte le connessioni che entrano, escono o solamente transitano su questa classe di ip.

Una volta aggiunte le righe che ci interessano basta dare un semplice

[root@localhost ~]# /etc/init.d/firestarter restart

ed ecco fatto, il nostro piccolo firewall personalizzato

Ovviamente con questo metodo si possono creare tutte le policy che ci interessano tramite i comandi di iptables.

In questo breve articolo descriverò brevemente come configurare l’accesso ad una shell senza dover digitare ogni volta la password, tramite scambio di chiavi RSA sfruttando il protocollo OpenSSH.

Mi è tornata utile tale funzione per gestire un backup incrementale remoto tramite rsync (magari un giorno scrivo due righe anche su questo così magari qualcuno mi da qualche consiglio), appoggiandomi sul protocollo criptato fornito dal servizio OpenSSH.

Ipotizziamo di operare in una LAN nella sottorete 192.168.0.0/24 e che la macchina da cui vogliamo effettuare l’accesso senza password sia la 192.168.0.2, mentra quella su cui vogliamo loggarci senza password sia la 192.168.0.3.

Dalla macchina dalla quale ci si vuole connettere senza digitare la password (192.168.0.2), digitiamo il seguente comando per generare la chiave RSA

[root@192.168.0.2 ]# ssh-keygen -b 2048 -t rsa

Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
f7:ec:0d:c8:f4:df:7a:6c:2b:1d:a1:59:ee:c7:ae:a0 root@192.168.0.2

Ora copiamo la chiave che abbiamo generato nella macchina di destinazione

[root@192.168.0.2 ]# scp /root/.ssh/id_rsa.pub root@192.168.0.3:.

Logghiamoci ora nella macchina alla quale ci si vuole connettere senza utilizzare la password e digitiamo il seguente comando

[root@192.168.0.3 ]#cat /root/id_rsa.pub >> /root/.ssh/authorized_keys

Finito, adesso dalla macchina 192.168.0.2 potremo loggarci sulla 192.168.0.3 senza digitare alcunapassword, ma non viceversa.

Questa tecnica può essere usata per gestire le connessioni tramite rsync appoggiandosi al protocollo OpenSSH.

[root@192.168.0.2 ~]# ssh root@192.168.0.3
Last login: Thu Jul 19 15:20:29 2007 from 192.168.0.2
[root@192.168.0.3 ~]#

Ebbene siamo giunti ormai alla slackware 12.

Siamo giunti alla versione 12, da giorni circolavano in reti articoli riguardanti la versione in versione Relase Candidate ma ora se provate ad aggiornare i vostri server/desktop alla versione current vi ritroverete con l’ultima versione

Fra le novità più importanti:

- kernel 2.6

- pacchettizzazione di X.Org 7.2 con supporto a XGL e Compiz (viva il 3d!!)

- GCC 4.1.2

e finalmente…

- apache 2  e php 5

vi linko l’output che ho già sul mio server (aggiornato a current) all’esecuzione del seguente comando

XXX@insidia:~$ cat /etc/slackware-version
Slackware 12.0.0
XXX@insidia:~$

Ci voleva questo aggiornamento finalmente

Purtroppo per esigenze legate al mio lavoro sono stato obbligato a usare Fedora core 5 (l’alternativa era Red Hat ma per questioni economiche è stata scartata).

Da quanto ne so Fedora nasce come una branca di Red Hat in versione free e fin qua nessun problema, solo che mi chiedo come può rilasciare una versione nuova nel giro di pochissimi mesi?

Nel mio caso ho iniziato ad utilizzare Fedora dal core 5, pochi mesi dopo è uscita la versione 6 (un flop incredibile è durata un mese scarso se non ricordo male) e adesso siamo alla versione 7… e per novembre sarà pronta la 8!!!

La domanda che mi pongo è molto semplice, ma tutte queste versioni (ricordo che Fedora core 3, 4, 5 sono ancora mantenute) per quanto tempo dureranno? Contando che tutte le possibilità di upgrade da una versione all’altra sono altamente sconsigliate uno cosa deve fare (da una versione all’altra cambiano i nomi dei pacchetti e non hanno previsto alcun tipo di risoluzione a questo problema)? Migrare i dati su nuovi server ogni 2-3 mesi?

Conosco parecchie aziende che la utilizzano per fini commerciali, ma sto sinceramente iniziando a pensare che non sia il massimo dell’affidabilità per quanto concerne un utilizzo commerciale.

Per quanto riguarda il suo funzionamento sinceramente non posso lamentarmi, in un anno di utilizzo non ho mai avuto mezzo problema negli aggiornamenti, a parte qualche errore di permessi sistemato in pochi minuti, però il giorno che diranno “da oggi fedora core 5 non la manteniamo più” oppure “entro il prossimo anno saremo a fedora 12″ cosa farà tutta la gente che utilizza questa ditribuzione?

A detta degli sviluppatori Fedora 7 (ndr.: questa si chiama Fedora 7 e non Fedora CORE 7) è stata definita come “Fedora 7 è stata fatta allo scopo di migliorare il modo in cui le future versioni di Fedora saranno fatte“, e questo mi fa pensare che si tratti solo di una specie di relase di test o di transito del sistema, su cui faranno degli esperimenti per future versioni.

A distanza di un anno dalla laurea, pubblico su questo sito la mia tesi dal titolo”Analisi di una rete basta su protocollo IPv6“.