Postmaster – Pagina 2 – WeBlog live notes

12 Novembre 201812 Ottobre 2021

Ve lascerà l’amaro in bocca !

Era dai tempi dell’imperatore Augusto
delle malefatte de Nerone
che a Roma nun scoppiava sto trambusto
E se incendiava la pubblica opinione

So diventati tutti giustizieri
Rimbombano le grida dei partiti
Compresi quelli che fino all’altro ieri
Cor malaffare se so arricchiti

Contro la nuova giunta comunale
Arza la voce er ladro malandrino
E chi ha lucrato sulla capitale
Da oggi s’è scoperto paladino

Arza la voce chi s’è magnato tutto
Chi s’è venduto pe’ trenta denari
Chi s’è scoperto che era farabutto
Chi ha fatto er servo dei palazzinari

Arza la voce er giuda traditore
Chi t’ha mentito anno dopo anno
Chi a Roma nostra ja strappato er core
Chi ce s’è fatto ricco co l’inganno

Arza la voce er furbo parassita
Chi t’ha rubato er voto col ricatto
Chi ha fatto affari co la malavita
Chi co la mafia c’ha steccato er piatto

Chi t’ha tradito dopo l’elezioni
Chi t’ha ridotto servo der sistema
Chi te fa crede che c’ha le soluzioni
E invece è stato la causa der problema

Chi t’ha lasciato co le spalle ar muro
Chi t’ha condotto sul ciglio del burrone
Chi t’ha sottratto i sogni dal futuro
Chi t’ha scippato pure la pensione

Arza la voce er servo giornalista
Filosofi banchieri imprenditori
Urla indignato er finto moralista
Predicatori e falliti educatori

Er polverone che avete sollevato
Ve lascerà l’amaro nella bocca
E capirete che Roma v’ha sgamato
E che Virginia Raggi nun se tocca

(Marco Camerini)
Fonte

10 Novembre 201830 Marzo 2025

Guide Linux related su Web

Sono disponibili le seguente guide in ambiente Linux:

Manuale interattivo APACHE
Guida avanzata di scripting Bash
Linux Administration Made Easy
Guida dell’amministratore di sistema di Linux
Manuale avanzato di vi
Manuale di riferimento Coreutils 9.0
Manuale di riferimento Bash
Manuale di riferimento Screen
Manuale di riferimento Rsyslog

Si tratta principalmente di traduzioni di guide rilasciate da Linux Documentation Project Guides
Inoltre una raccolta di documenti HTML locale

30 Ottobre 2018

Se, in qualche circostanza, rilevate errori relativi alla validità delle chiavi GPG, per esempio “The following signatures were invalid: KEYEXPIRED”, suggeriamo le seguenti modalità di verifica e gestione:

apt-key list è il comando che elenca caratteristiche e chiavi GPG installate sul sistema, quindi per evidenziare quelle eventualmente scadute:

sudo apt-key list | grep "expired: "
nel caso di match, le chiavi GPG effettivamente scadute saranno elencate:

pub   2048R/479BC94B 2013-08-26 [expired: 2018-08-25

La parte evidenziata in grassetto, dopo lo “/” è la KEY e dovrà essere riportata per essere aggiornata:

sudo apt-key adv --keyserver keys.gnupg.net --recv-keys [KEY]
Se preferite gli automatismi, e ne comprendete l’operatività, potete usare il seguente comando:

sudo apt-key list  | grep "expired: " | sed -ne 's|pub .*/\([^ ]*\) .*|\1|gp' | xargs -n1 sudo apt-key adv --keyserver keys.gnupg.net --recv-keys

12 Maggio 201812 Marzo 2019

Disabilitare accesso SSH con credenziali

Se avete già abilitato l’accesso SSH su base certificato, può essere una buona idea disabilitare la modalità basata su credenziali (Login e Password).

La ragione per la quale questa sarebbe una buona scelta dipende dal fatto che Internet pullula di robot e persone curiose (il mondo è grande) intente a trovare un accesso poco protetto. Successivamente potremo apprezzare visivamente, con l’aiuto di un grafico, la differenza in termini di tentativi d’accesso falliti nei casi di accesso basato su credenziali abilitato e non.

Dunque se avete deciso di autorizzare solo accessi garantiti da certificato, la buona notizia è che la procedura da seguire è davvero elementare: è sufficiente inserire in /etc/ssh/sshd_config la direttiva

PasswordAuthentication no

Far ripartire il servizio sshd: sudo service sshd restart

Eventuali problemi di accesso dovranno quindi essere gestiti tramite console.

Mettiamo ora sotto osservazione l’accesso ssh per vedere gli effetti che comporta avere un servizio che consenta di accedere non solo tramite certificato, ma anche tramite credenziali user-pswd:

La lettura del grafico va interpretata nella seguente maniera: alle ore 10:45 del giorno precedente, quando sul sistema non era ancora stato abilitato l’accesso tramite credenziali, è stato rilevato un tentativo di accesso non autorizzato, e così alle ore 17:50 23:05 e 12:30. I tentativi non autorizzati sono stati bloccati per 2 ore, quindi riabilitati. Alle 17:00, sul sistema monitorato, è stato abilitato l’accesso tramite credenziali ed è evidente come il sistema divenga ripetutamente e continuamente oggetto di tentativi non autorizzati d’accesso.

Il grafico è stato realizzato integrando e facendo uso dei prodotti: MRTG, external-script e fail2ban e dimostra l’importanza di adottare adeguate misure di protezione su qualsiasi dispositivo accessibile da Internet: qualsiasi dispositivo connesso in IPv6, i router casalinghi IPv4 ed ogni dispositivo interno accessibile tramite il router casalingo via port forwarding.

10 Maggio 201810 Maggio 2018

Transmission su QNAP

A partire dalla versione 4.3.2 del Firmware QNAP, Transmission smette di essere compatibile e scompare dal repository QNAP.

Una possibile soluzione è quella di installare qTransmission, disponibile su repository terze parti. Di seguito i passi da seguire se si decide di intraprendere questa strada.

Per iniziare accediamo al NAS e avviamo AppCenter, quindi andiamo a modificare le sue impostazioni facendo click sulla ruota dentata posta in alto a destra:

Fare click sulla ruota dentata evidenziata dal circolo rosso

Portiamoci sul tab Archivio e aggiungiamo il nuovo QNAP Club Store. associandogli il seguente URL: https://www.qnapclub.eu/it/repo.xml

Dal tab Archivio aggiungiamo il nuovo repository

Terminata l’operazione, se tutto è andato bene, troveremo nella pagina dell’APP Ceter l’icona del repository QNAP Club Store appena configurato.

Ora che il repository è impostato basterà cercare Transmission e installarlo sul nostro NAS.

3 Maggio 201812 Ottobre 2021

SSH con autenticazione basata su certificato.

Il protocollo SSH offre un ottimo livello di sicurezza, ma quando viene esposto ad accesso da Internet diventa rapidamente oggetto di frquenti tentativi di accesso non autorizzati.

Utilizzare certificati basati su chiave pubblica e privata è senz’altro una buona misura di sicurezza che è opportuno considerare.

la crittografia asimmetrica, o più semplicemente la crittografia basata su chiave pubblica e privata è alla base dei moderni sistemi di crittografia ed è opportuno conoscerne almeno i principi di funzionamento. A tale scopo può essere utile la definizione disponibile su Wikipedia: Crittografia asimmetrica. Sostanzialmente dalla chiave privata può essere derivata la chiave pubblica, ma non viceversa e un contenuto crittografato con chiave privata può essere portato in chiaro tramite la chiave pubblica così come un contenuto crittografato tramite chiave pubblica può essere portato in chiaro tramite la chiave privata. Se pubblico un contenuto crittografato tramite chiave privata, tutti coloro che sono in possesso della chiave pubblica saranno in grado di riportare in chiaro la mia pubblicazione avendo inoltre la certezza che sia stato davvero io a fare la pubblicazione, inquanto solo io sono in possesso della chiave privata. D’altra parte, se pubblico un contenuto crittografato tramite la chiave pubblica di un’altra persona, solo lei sarà in grado di riportare in chiaro la mia pubblicazione, indipendentemente dal numero delle persone che la riceveranno. Sono possibili anche combinazioni complesse dei metodi di crittografia citati, ma quelli elencati sono e restano fondamentali.

Tecnologicamente il funzionamento di questo tipo di crittografia è particolarmente robusto, a patto che il proprietaro custodisca in maniera adeguata il suo certificato (contenente la chiave privata e la possibilità di derivare la chiave pubblica). Se anche solo un’altra persona entrasse in possesso della chiave privata tutto il meccanismo sarebbe compromesso e non offrirebbe più acuna garanzia.

Vediamo ora come utilizzare questo meccanismo per autenticarci in maniera sicura usando ssh.

La prima operazione da effettuare è la generazione della coppia di chiavi pubblica e privata che saranno successivamente utilizzate. Il collegamento avviene da un client verso un server. La chiave privata va custodita sul client ed è quindi naturale che venga generata proprio sul client. Il comando da impartire per la generazione delle chiavi è: ssh-keygen -t (tipo di codifica) -b (lunghezza della chiave) -C (un commento che ci aiuti ad identificare il prorietario del certificato) verranno usati user-id e nome del client che useremo per il collegamento.

ssh-keygen -t rsa -b 2048 -C <user-id>@<client-name>

Poiché non lo abbiamo dichiarato, il comando ci chiede in maniera interattiva la conferma del percorso da utilizzare per l’archiviazione delle chiavi. Di default propone la cartella .ssh sotto la home dell’utente che genera la chiave. Se ci sono ragioni particolari è possibile modificare il percorso di default. Eseguito il comando avremo archiviato i due certificati identificati come id_rsa (privata) e id_rsa.pub (pubblica). Come già detto in precedenza, la chiave privata deve essere conservata gelosamente, mentre perché il meccanismo funzioni, la chiave pubblica va consegnata e installata opportunamente nel server che vogliamo che ci riconosca: l’installazione della chiave pubblica avviene aggiungendola alla lista contenuta nel file authorized_keys nella cartella .ssh sotto la home dello user, nel server con cui ci vogliamo collegare. E’ possibile usare un normale editor di testi, ma è preferibile usare un apposito script preposto a questo scopo:

ssh-copy-id -i ~/.ssh/id_rsa user@host

Verranno chieste, dal server remoto (host), le credenziali di accesso e successivamente la chiave pubblica sarà installata, rendendo automatico, d’ora in poi, il riconoscimento dell’utente.

Suggerimenti:

1) vale la pena verificare che i permessi dei file id_rsa e id rsa.pub siano settati rispettivamente a -rw——- e -rw-r–r–
un settaggio più permissivo non consentirà un corretto funzionamento.

2) E’ possibile che il server che si vuole connettere non accetti accessi basati su credenziali (usr/pwd). In tal caso, da una connessione abilitata si potrà intervenire sul file di configurazione /etc/ssh/sshd_config andando ad agire sulla direttiva:

PasswordAuthentication

E’ anche possibile che il client dal quale ci si vuole connettere non consenta accessi basati su credenziali (usr/pwd). In tal caso si può intervenire sul file /etc/ssh/ssh_config andando ad agire sulla stessa direttiva indicata precedentemente.

Se l’argomento vi ha, per qualche motivo, interessato particolarmente, forse vorrete proseguire con la lettura anche di questo articolo: Disabilitare accesso SSH con credenziali

Autore: Postmaster

Ve lascerà l’amaro in bocca !

Guide Linux related su Web

Aggiornare chiavi GPG scadute

Transmission su QNAP

SSH con autenticazione basata su certificato.