ecarlesso.org - Blog

Here we are...

2010-12-02T22:40:00Z

Bando alle ciancie.

Un po’ di materiale interessante:

CommandLineFu
StructureSynt
Vim destroys all other rails editor Che non si limita solo a rails, ma suggerisce un pacco di cose interessanti, NERDTree e NERDCommenter in primo luogo.

A bientòt.

ecarlesso v3.0

2010-11-30T18:45:00Z

Si, lo so, lo so.

FOSDEM - La mia esperienza

2010-02-17T23:00:00Z

Quest’anno, su consiglio del buon Fabio “Balto” Baltieri, ho preso parte al FODEM , a Brussels.

Piccola intro: FOSDEM ‘10 is a free and non-commercial event organized by the community, for the community. Its goal is to provide Free and Open Source developers a place to meet. No registration necessary. Beh, ragazzi, non so come descrivervelo, davvero…Un paradiso terrestre? Ok, lo so che passerò per il peggiore dei nerd, ma questa è probabilmente la definizione più corretta. Un paradiso in terra… Andiamo con ordine… Anzitutto un applauso da rovinarsi le dita allo staff organizzativo. Mai in vita ho visto nulla di meglio organizzato. Le uniche critiche che possono sentirsi al più riguarderanno gli spazi, ma tutto il resto è stato a dir poco perfetto. Infodesk veloce, efficiente, competente. Un mare di stand interessanti, da citare quello di BSD con un diavoletto in peluche da un metro e venti… I talk in programma davano spazio a tutte le curiosità, i lightning talks continui non sono stati da meno. Per chi ne avesse curiosità, molti video sia di talk “principali”, sia dei lightning possono essere trovati sul canale ufficiale su youtube, sia direttamente da scaricare qui .

Da notare che praticamente tutto lo spazio dedicato al convegno era coperto da WiFi (se non sbaglio la cisco ha prestato un po’ di hardware). Tra i due edifici lo staff “internet” ha tirato una fibra ottica, tanto per capirsi, e c’erano access-point ovunque. Voci di corridoio dicono che la sera di sabato, alla fine della prima delle due giornate quindi, la tabella del server dhcp contava più di 1900 entries, e il giorno dopo hanno ben pensato di appendere ovunque dei cartelli con scritto

“PLEASE USE MORE BANDWIDTH”... Ma lasciando da parte l’aspetto tecnico/organizzativo, quello che più mi ha inebriato è lo spirito che aleggiava nei corridoi, nelle sale e anche al bar… Un clima gioioso, di gente che davvero crede nell’opensource, che ci dedica tempo e passione e che ne ricava felicità nel sentire di dare, per quanto misero o grosso che sia, il proprio contributo. Sentivo scorrere una linfa, uno spirito di squadra e un’amicizia incondizionata che credo nemmeno a Woodstock abbiano avuto. Ancora, una grande grande lode agli organizzatori, all’anno prossimo!!!

Talk Apache Web Server

2010-02-12T23:00:00Z

Il 4 febbraio 2010 si è tenuta la prima delle tre serate organizzate dal GrappaLUG sul tema dei CMS.

Il tema della serata verteva sull’installazione e l’utilizzo del Web Server Apache, e vedeva me medesimo come relatore.

Come di consueto pubblico le slides ed i sorgenti latex delle stesse, possano mai essere di aiuto per qualcuno. Potrete trovare tutte le slides anche sul sito dell’associazione, unitamente a quelle che Nicola Bisinella preparerà per i suoi due prossimi interventi:

Cos’è un CMS – 25 febbraio 2010 Installazione e configurazione base di Drupal – 04 marzo 2010 Gli incontri avverranno presso il Centro Giovanile di Bassano del Grappa in saletta C alle ore 21.00.

Eccovi inoltre la locandina realizzata per l’evento:

Griffith - IMDB in italiano

2010-01-17T22:50:00Z

Girando un po’ mi sono imbattuto in questo software, e devo dire che mi ha fatto un’ottima impressione.

Griffith ci permette di mantenere una sorta di Videoteca virutale, un “semplice” applicativo nella quale teniamo una lista di film, potendoli dividere tra visti e non visti, utile anche per tenersi una lista dei film che vorremmo vedere. Tutto qui? Si, bene o male tutto qui. Se non che nell’aggiunta di film possiamo prenderci il lusso di inserire solo il titolo ed effettuare la ricerca online, ed i “motori di ricerca” sono veramente un sacco!

Potete mettere il titolo del film, fare una ricerca sul web col motote che preferite (IMDB, Amazon, ... son circa una trentina) scegliere tra una lista di match e tirarvi giu locandina, regista, genere, cast completo e tutto quello che il sito vi permetterà. Provato con IMDB restituiva praticamente di tutto!

Con un però. Tra i motori di ricerca non è presente la versione italiana di IMDB. Il che per me è una gran scocciatura, mi capita spesso di non sapere il titolo in inglese di un film, e comunque i film tendo a guardarli in italiano, e vorrei che le ricerche fossero nell’IMDB italiano.

Qui l’illuminazione. Griffith è scritto in python, ed i plugin son classi a parte. Quindi ieri, armato di buona lena, ho scritto il plugin per IMDB in Italiano. Lo potete trovare in allegato, se volete utilizzarlo dovrete metterlo nella cartella lib/plugins/movie di griffith, che nella mia distribuzione è in /usr/share/griffith, dovreste trovarlo anche voi da quelle parti.

Basterà compiare il mio PluginMovieIMDB-it.py li ed al prossimo riavvio del programma nella lista dei plugins vi torverete anche IMDB-it. Ho fatto una piccola modifica che nel campo “Original Title” mette il titolo preso da imdb.com (che non è sempre l’originale, è vero). Ieri sera ho sottomesso all’attezione della mailinglist dei developer di griffith il mio plugin. Speriamo lo vogliano aggiungere al mainstream!

Spero a qualcuno possa interessare!

Autenticazione con identd

2010-01-12T22:15:00Z

Oggi affrontiamo una piccola modifica al post sulla configurazione di un proxy in maniera leggermente differente. Anzichè autenticare gli utenti contro l’active directory, proviamo a “fidarci” dei client windows, e verifichiamo l’identità dell’utente in un altro modo.

Anzichè utilizzare squid per l’autenticazione contro il server LDAP, istruiamo dansguardian per richiedere alla macchina client l’utente attualmente loggato sulla macchina.

Per fare ciò, necessitiamo di un servizio sulla macchina client che implementi le specifiche dell’RFC 1413, chiamato ident. Per windows esiste il progetto identdwin , che ci fornisce un applicativo pressochè invisibile che installato sulla macchina si registra come servizio (ovviamente l’installazione va fatta da utente amministratore) e si avvia automaticamente ad ogni avvio di macchina. Dovet permettere ad un eventuale firewall installato (senza dimenticarsi di quello di windows) per accettare le connessioni entranti dirette alla porta 113.

Possiamo verificare il corretto funzionamento del servizio telnettiamoci al servizio:

$ telnet auth Una volta stabilita la connessione diamo il comando:

22, 3216 Al quale il client risponderà con qualcosa tipo:

22 , 3216 : USERID : WINDOWS :utente Se tutto funge siamo a posto.

Ora basta configurare dansguardian per utilizzare il plugin ident, cosa che facciamo decommentando la riga:

authplugin = ’/etc/dansguardian/authplugins/ident.conf’ A differenza dell’installazione con squid come agente di autenticazione, ora utilizziamo solo dansguardian e un’istanza di squid per fare cache. Dobbiamo quindi ricordarci di permettere le connessioni dei client direttamente a dansguardian, ricordandoci di modificare l’instanza filterip ed eventualmente filterport se vogliamo tenere il classico 3128 per come avevamo già configurato i client.

Lo schema attuale del sistema è così strutturato:

Buon filtraggio!

SysRq - Un amico per i disaster recovery!

2010-01-05T14:26:00Z

Avete presente quel misterioso tasto, talvolta chiamato R Sist (in italiano) o Sys Rq (in inglese)? Mi son chiesto per anni a cosa servisse e soprattutto se funzionava davvero… Un amico una volta mi disse, con aria mistica “Ti dà sempre una shell anche col computer in panne!”.

Vediamo di dare una risposta a questo interrogativo.

SysRq sta per System Request, ed è un tasto che, utilizzato in combinazioni particolari, lancia dei comandi alla macchina che possono essere particolarmente utili in caso di kernel panic, per esempio.

Per una lista completa, o una trattazione più approfondita potete consultate la relativa pagina su wikipedia .

Sfortunatamente (o fortunatamente, dipende dai punti di vista) questo tasto e le relative macro non sono abilitate di default (at least in Archlinux). Per un’abilitazione temporanea possiamo fare (da root):

# echo 1 > /proc/sys/kernel/sysrq

Per renderlo permanente al boot invece modifichiamo (o creiamo se non esiste) il file /etc/sysctl.conf modificando (o aggiungendo) la riga:

kernel.sysrq = 1

Invocando sysctl -p ricarichiamo la configurazione del file appena modificato.

In caso di kernel panic, o di blocco della macchina, prima di togliere brutalmente la corrente, possiamo provare questa combinazione: Un famoso “ritornello” per ricordarselo è “R*eboot *Even I*f *System U*tterly *Broken”, o “BUSIER” al contrario… Io REISUB me lo ricordo abbastanza bene.

Alt + SysRQ + r (unraw)
Alt + SysRQ + e (Terminate)
Alt + SysRQ + i (Kill)
Alt + SysRQ + s (Sync)
Alt + SysRQ + u (Unmount)
Alt + SysRQ + b (Reboot)

Questo permette di evitare di corrompere il filesystem, e soprattutto, inviando un SIGTERM a tutti i processi permette ai programmi di terminare in maniera corretta.

Che aggiungere… Buon disaster recovery a tutti…

HOWTO: Squid -> Dansguardian -> Squid e Windows 2003 Active Directory

2010-01-04T23:23:00Z

Introduzione Recentemente mi son trovato nella spiacevole situazione di dover tirare un server che facesse da filtraggio web (si parla di una scuola), cache web ed autenticazione utenti contro l’Active Directory di un server windows 2003. Inoltre si voleva che il comportamento del filtro variasse a discrezione dell’utente corrente.

La soluzione implementativa che ho trovato può essere schematizzata nella seguente maniera:

Tradotto, la richiesta dell’utente va Squid (Auth), il primo elemento della nostra catena. Questa istanza di squid (che non fa alcun tipo di caching) si occupa dell’autenticazione dell’utente. Per autenticarsi contro l’Active Directory di Windows (afaik) si può operare in due metodi, dopo svariate prove in entrambi i metodi sono riuscito nell’intento con il modulo squid_ldap_auth (che fa parte del pacchetto squid, anche se non quello di default di Archlinux), seguirò quindi questa linea in questo howto. Una volta che l’autenticazione va a buon fine, Squid (Auth) inoltertà la richiesta a DansGuardian, il nostro secondo agente, modificando adeguatamente l’header della richiesta permettendo a quest’ultimo di filtrare i contentuti in base al livello di permesso dell’utente.

Se sia l’autenticazione di Squid (Auth) sia il filtraggio utente di DansGuardian vanno a buon fine, la richiesta corrente viene girata al nostro terzo agente, ad una seconda istanza squid che chiameremo Squid (Cache), che semplicemente lavora come web-cache, decidendo se restituire gli oggetti richiesti dalla cache o prelevandoli direttamente da internet.

Vediamo passo passo come realizzare questa struttura.

Squid (Auth) Questo è decisamente il componente più delicato di tutta la faccenda. Questa configurazione prevede di avere tutti i browser della rete configurati con proxy esplicito. Squid resterà quindi in ascolto sulla porta 3128 per tutte le connessioni. Non farà cache, ha il solo compito di fare autenticazione. L’autenticazione avverà grazie al modulo squid_ldap_auth, che chiederà la conferma delle credenziali al server windows. Partiamo da questo punto nevralgico.

[Archlinux specific topic] Per quanto voglia mantenere le guide che scrivo il più distro-indipendent possibile, faccio un piccolo inciso per venire incontro a chi come me utilizza Archlinux. Di default il pacchetto squid per arch non include il modulo squid_ldap_auth. Sperando che questa cosa venga aggiunta in future versioni del pacchetto, ricompilarsi il pacchetto è una cosa banalissima… Sfruttiamo abs per questo. Come tutti, ovviamente sconsiglio di effettuare le seguenti opererazioni da root, quindi una volta installato il pacchetto abs date gli accessi a /var/abs al vostro utente!

pacman -S abs
chown -R /var/abs Siamo ora pronti a scaricare il sorgente del pacchetto e modificarcelo: /assets/2010/12/10/squid-dansguardian-squid.png

$ abs extra/squid $ cd /var/abs/extra/squid/ Modifichiamo il PKGBUILD modificando la riga che seleziona gli helper da utilizzare:

—enable-basic-auth-helpers=”getpwnam,YP,NCSA,SMB,MSNT,PAM,multi-domain-NTLM” \ deve diventare

—enable-basic-auth-helpers=”getpwnam,YP,NCSA,SMB,MSNT,PAM,multi-domain-NTLM,LDAP” \ Salviamo e chiudiamo e diamo un bel pkgbuild. Alla fine della procedura (un paio di minuti) ci troverremo il nostro pacchetto. Andiamo ad installarlo (da root, of course):

pacman -U /var/abs/extra/squid/squid-2.7.STABLE7-1-i686.pkg.tar.gz Finalmente ci troviamo in /usr/lib/squid il nostro bel squid_ldap_auth. [/Archlinux specific topic]

La comodità di questo modulino è che è invocabile direttamente da riga di comando per verificarne le funzionalità, senza dover ogni volta ritestare/assets/2010/12/10/squid-dansguardian-squid.png squid e faticare come matti a verificarsi i log.

Ora necessitiamo di un account sull’Active directory per poter fare le richieste di autenticazione. Chiameremo l’utente USERNAME con la password PASSWORD.

Da quanto ho capito ci sono decine di maniere diverse per poter scrivere questa riga, per arrivare alla configurazione corretta e funzionante (nel mio caso, tenete conto che non ho alcuna esperienza con server Windows e tanto meno con Active Directory) ho fatto (esattamente) 77 test diversi…

Per scoprire le nostre credenziali, nel server Windows avviamo ldp.exe. Connettiamoci al localhost:

Ora diamo un Connection -> Bind inserendo le credenziali dell’utente preposto alle richieste di autenticazione. L’ultima riga della finestra di log ci dirà: Authenticated as dn:’USERNAME’. Ora clicchiamo su Browse -> Search, ci si presentrà una maschera simile a questa:

Vedete il primo campo di input, il vostro sarà leggermente diverso, a discrezione della configurazione del vostro Active Directory. Beh, prendetene nota!

Facciamo un primo test e dal nostro server linux diamo, ovviamente sostituendo i campi scovati in precedenza (AD_ID è l’ip del server Windows):

/usr/lib/squid/squid_ldap_auth -v 3 -b “cn=Users,dc=aaa,dc=bbb,dc=ccc” -D “USERNAME@aaa.bbb.ccc” -w PASSWORD -f sAMAccountName=%s -h AD_IP

A questo punto il programma resterà in ascolto per ricevere username e password da riga di comando. Proviamo ad iniserire una coppia username/password di un utente del nostro AD separata da uno spazio. Se il programma ci risponde:

squid_ldap_auth: WARNING, could not bind to binddn ‘Invalid credentials’ ERR Success allora abbiamo sbagliato qualcosa, significa che il server LDAP di Windows non ci permette di autenticarci… Verificate di aver inserito correttamente username e password e che questi dati siano effettivamente nell’Active Directory.

Se invece il modulo ci risponde semplicemente

ERR Successl significa che ci siamo autenticati ma che USERNAME e PASSWORD vengono rigettatti. Se li inseriamo corretti invece ci verrà risposto OK.

Se riusciamo a farci restitutire OK per gli utenti esistenti abbiamo fatto il grosso del lavoro. Almeno nel mio caso è stata la parte più complicata del procedimento.

Ora che siamo “a posto” possiamo procedere con la configurazione di squid. Teniamo presente che necessitiamo di due istanze di squid che girano. Per fare questo (è sempre una delle possiblità, ovviamente) ho fatto una copia di /etc/squid in /etc/squid_cache, utilizzando il percorso originale per Squid (Auth) ed il secondo path per Squid (Cache). Questo ci porterà a modificare gli script per lanciare squid, ma ci torneremo in seguito.

Passiamo alla configurazione di Squid (Auth), andando ad editare /etc/squid/squid.conf. Vi riporto la mia configurazione commentata

squid.conf – Autenticazione ###################

Written by Enrico Carlesso
29 December 2009 #
Questa è la porta sulla quale resterà in ascolto squid, ovvero la porta del server proxy da
configurare sui client (via AD)

http_port 3128

La direttiva ACL ci permette di definire delle liste. Definiamo la direttiva ip_acl per per gli ip che appartengono
alla rete da monitorare.
Volendo possiamo già qui stabilire degli ip da non filtrare, ma va oltre lo scopo di questo howto,
e un paio di altre liste.

acl ip_acl src 172.16.0.0/24 acl allhttp proto HTTP acl QUERY urlpath_regex cgi-bin \? acl all src all

Con questa direttiva potete inserire la mail dell’amministratore. Per questa configurazione la pagina che
presenta questa
informazione non verrà mail visualizzata, ma può essere comodo anche per chi eventualmente prenderà in
mano il file di configurazione in futuro.

cache_mgr quello@chevi.pare

Questa impostazione decide per quanto tempo mettere in riposo squid prima di spegnerlo una volta ricevuto
un SIGTERM o un SIGHUP. Il valore di default è 30 secondi, ma per testarlo attendere così tanto potrebbe
diventare troppo frustrante…

shutdown_lifetime 2 seconds

Qui diciamo a quanto vorremmo limitare l’utilizzo di memoria di questa istanza di squid

cache_mem 8 MB

Il nome da utilizzare negli nei messaggi di errore. Default al valore di gethostname()

visible_hostname Squid-server

Questa opzione specifica il comportamento di questo squid. Noi vogliamo inoltrare la nostra
richiesta a DansGuardian che sarà in ascolto sulla porta 8080, ma vogliamo anche che venga passato
l’username autenticato di modo che DG possa effettuare le dovute operazioni di filtraggio

cache_peer 127.0.0.1 parent 8080 0 no-query login=d

La dimensione massima dell’oggetto da cachare. Abbastanza inutile qui, non cachamo nulla…

maximum_object_size 10 MB

Le seguenti direttive specificano appunto la nostra volontà di non cachare le acl in oggeto.

no_cache deny QUERY no_cache deny allhttp no_cache deny ip_acl

Configurazioni più o meno standard. Ricordate di evitare conflitti con l’altra configurazione di squid!

cache_dir ufs /var/cache/squid 8 16 256 read-only cache_log /var/squid/logs/access_authenticate.log access_log /var/log/squid/access.log squid cache_store_log /var/squid/logs/store_authenticate.log pid_filename /var/run/squid_authenticate.pid

L’autenticazione! Ovvero la righetta di prima che abbiamo fatto funzionare!

Questa è una riga sola, è spezzata per questioni di layout!

auth_param basic program /usr/lib/squid/squid_ldap_auth -v 3 -b “cn=Users,dc=aaa,dc=bbb,dc=ccc” -D “USERNAME@aaa.bbb.ccc” -w PASSWORD -f sAMAccountName=%s -h AD_IP

Parametri specifici per questo tipo di autenticazione.

Numero di istanze da far girare (ps aux | grep ldap vi farà capire di cosa si parla)

auth_param basic children 10

Parte del messaggio da far apparire nella maschera di richiesta login

auth_param basic realm Einaudi Web Access Control

Validità delle credenziali. Un’ora scolastica dura 50 minuti, quindi :)

auth_param basic credentialsttl 50 minutes

Specifica una nuova acl per coloro che sono stati autenticati e ne garantisce l’accesso, perlomeno

fino a DansGuardian…

acl ldap-auth proxy_auth REQUIRED http_access allow ldap-auth #######################################################

Come avete visto l’”uscita” di squid è “agganciata” a Dansguardian, per il filtraggio contenuti, sulla porta specificata. Passiamo ora al nostro secondo elemento.

DansGuardian Dobbiamo configurare DansGuardian di modo che resti in ascolto sula porta 8080. Questo software non richiede particolari configurazioni complicate, eviterò quindi di postarvi tutto il file di configurazione lasciandovi il “dovere” di darci una letta. Ci focalizzeremo solo sulle modifiche caratterizzanti.

Normalmente il file di configurazione lo trovate in /etc/dansguardian/dansguardian.conf

dansguardian.conf – Parte ###################

La direttiva language specifica in che lingua volete vengano scritti i messaggi di

DansGuardian all’utente

Trovate la lista delle lingue in (normalmente) /usr/share/dansguardian/languages

language = ‘italian’

Per logfileformat invece specifichiamo il formato dei file di log. Se volete avere i log in

stile squid per poterveli poi elaborare con SARG dovete inserire 3

logfileformat = 3

Vogliamo che DansGuardian si limiti a rispondere alla richieste provenienti da

Squid (Auth), ovvero dalla macchina locale.

Otteniamo questo con l’opzione filterip, con filterport ne specifichiamo la porta

filterip = 127.0.0.1 filterport = 8080

Dobbiamo ora dire a dasnguardian come contattare Squid (Cache),

la cui configurazione vedremo in seguito.

Per ora decidiamo solo su che porta faremo girare la seconda istanza di squid, che deve essere

diversa dalla prima (ovviamente). In questo caso ho scelto 3138

proxyip = 127.0.0.1 proxyport = 3138

Veniamo ora alla configurazione dei gruppi. In questo esempio utilizzeremo 4 gruppi così tipizzati:

Gruppo 1: Ogni richiesta viene bloccata

Gruppo 2: DansGuardian effettuerà un filtraggio “pesante”

Gruppo 3: DansGuardian effettuerà un filtraggio più rilassato

Gruppo 4: Nessun filtraggio applicato

Per fare ciò dobbiamo anzitutto dire a DansGuardian quanti gruppi vogliamo:

filtergroup = 4

e specificare il path del file con le associazioni utente/gruppo:

filtergroupslist = ’/etc/dansguardian/filtergroupslist’

Per permettere a DansGuardian di intercettare gli utenti passati da Squid (Auth)

dobbiamo utilizzare un plugin per

l’autenticazione. Nel nostro caso va benissimo il proxy-basic.conf authplugin = ’/etc/dansguardian/authplugins/proxy-basic.conf’ #######################################################

Le restanti opzioni, al valore di default, vanno bene. A vostra discrezione ovviamente modificare quel che più vi aggrada.

Abbiamo quindi detto a DG che abbiamo quattro gruppi. Automaticamente le policy per i quattro gruppi saranno lette da: Filtro per il gruppo 1 => /etc/dansguardian/dansguardianf1.conf Filtro per il gruppo 2 => /etc/dansguardian/dansguardianf2.conf Filtro per il gruppo 3 => /etc/dansguardian/dansguardianf3.conf Filtro per il gruppo 4 => /etc/dansguardian/dansguardianf4.conf

Per filtrare adeguatamente i vari gruppi, ho creato quattro cartelle copia della directory /etc/dansguardian/lists rispettivamente in fg1, fg2, fg3 e fg4. All’interno di ogni file di configurazione modificate i vari path di modo che puntino ai file corretti, per chi usasse vim una cosa del genere porta al risultato desiderato: %s/\/lists\//\/fgX\/ ovviamente con al posto di fgX la directory relativa a quel gruppo.

E’ buona norma dare un nome ad ogni gruppo, per aver più chiarezza nei log, con la riga groupname =

Come avevamo detto vorremmo che il gruppo 1 venga sempre bloccato, mentre il gruppo 4 sempre autorizzato. Per fare questo il procedimento è molto semplice, nei due file di configurazione relativi cerchiamo la riga

groupmode = 1 Come potrete leggere nei commenti del file di configurazione, se lo impostiamo a 0 banneremo, quindi bloccheremo, le richieste da questo gruppo, impostandolo a 2 invece il traffico non verrà filtrato. Impostiamo relativamente il gruppo 1 ed il gruppo 4 nelle due maniere.

Gli altri due gruppi invece vanno filtrati con pesi diversi, e potete tenere diverse liste, per esempio di url bloccati, e diversi pesi per gli algoritmi sul contenuto per i due gruppi diversi. Per queste configurazioni leggetevi il file di configurazione del gruppo che è più che esplicativo, e ricordate che abbiamo copiato tutti i file banned e exception* in cartelle a parte, dovete quindi editarle in quella posizione.

Nel file di configurazione abbiamo specificato su che porta DansGuardian contattera il terzo componente di questa nostra catena di agenti, Squid (Cache). Tenendocela a mente, proseguiamo con la configurazione dell’ultimo demone.

Squid (Cache) Passiamo ora alla configurazione del web-cache. Questa è probabilmente la configurazione di squid più elementare. Accetta connessioni solo da localhost, ovvero dansguardian, ed ha un comportamento elementare (almeno uno!).

Non posto nemmeno il file di configurazione, praticamente va bene quello standard, teniamo solo presente che dobbiamo limitare le connessioni a localhost e cambiare la porta di default, cosa che io ho fatto così:

http_port 3138 acl localhost src 127.0.0.1/32 acl all src all http_access allow localhost http_access deny al Prestate attenzione poi a dove salvate la cache e la dimensione che volete darle.

A questo punto tutti i nostri elementi sono al loro posto! Non ci resta che fare una copia dello script di avvio di squid modificando il file di configurazione da seguire ( -f /etc/squid_cache/squid.conf in questo caso), avviare i tre programmi e verificarne la funzionalità.

A questo punto se date ps aux | grep -i squid_ldap_auth vedrete il numero di sottoprocessi generati da squid per l’autenticazione. Dovrebbero essere tanti quanti il numero indicato in auth_param basic children 10.

Spero che questa guida possa essere di aiuto, io ci ho messo svariati giorni per riuscire a mettere assieme tutti gli elementi che mi servono, ed ora son ben contento del risultato.

Iptables and netfiltering - Primi Passi

2010-01-04T22:15:00Z

E’ strano, ma in tanti anni della mia esperienza nel mondo linux, fino a qualche mesetto avevo un grosso tabù nel mondo dei sistemi GNU/Linux.

Ed è abbastanza strano perchè è un nodo cruciale delle reti e di sistemi server… Sto parlado di iptables, of course!

Beh, ho deciso che era giunta ora ormai di colmare questa vergognosa lacuna e, come son solito fare, sono andato sul sito ufficiale del progetto ed ho inziato a leggiucchiare un po’, fino a scoprire che il mitico Rusty Russel ha pubblicato una bella sfilza di how-to che sono di un’immediatezza e facilità inimmaginabile! Li potete trovare qui, e soprattutto le potete trovare anche nella nostra lingua, chè alle volte fa ben comodo.Le due che ho trovato più utili per farsi un’idea abbastanza chiara di cosa stiamo parlando sono:

Packet Filtering
Netfilter Hacking Certamente anche Network Concepts non fa male a nessuno!

Insomma, ve ne consiglio vivamente la lettura perchè sono estremamente chiare e complete, fornite di esempi e esaustivi. Dopo aver assodato per benino queste introduzioni avete sicuramente le basi per inziare a giocare un po’ col filtraggio pacchetti.

E, last but not least, vi propongo un’immaginina che mi son stampato ed appeso in camera:

Presa da questa pagina

Buon netfiltering a tutti!

Talk Free and Open Source Software

2010-01-04T21:49:00Z

Oggi, 14 novembre 2009, ho tenuto un piccolo e modesto talk sul Free and Open Source Software, presso il Centro Giovanile di Bassano del Grappa. Questo incontro è stato il secondo di una serie di quattro incontri dedicati al progetto “6 Connesso?”. Qui sotto trovate le slides ed i sorgenti della presentazione. Abbiamo avuto una scarsa affluenza, ed effettivamente dobbiamo potenziare di molto il nosto settore di promozione.

Il talk è andato bene, anche se devo ammettere che mi trovo meglio in talk tecnici piuttosto che talk generici, ma spero di aver reso abbastanza l’idea!