Marco's Informatik Blog

Finalmente rilasciata la versione definitiva di Trustix Secure Linux 3.0.5
Qui l’annuncio e qui le varie iso

Social Bookmarks

Hide Sites

Qualche giorno di ritardo, infatti il 13 Febbraio è uscita l’ultima release candidate, la due di Trustix Secure Linux.
Infatti come annunciato sul sito, il prossimo rilascio sarà la versione stabile.
Essenzialemente questa versione rispetto alla precedente porta bugs fix e aggiornamenti ad alcuni pacchetti.
Tutte le info sul sito ufficiale.

Social Bookmarks

Hide Sites

E’ uscita una nuova versione di Trustix, la 3.0.5 RC1, oramai il passo verso la stabilità è prossimo!
Novità di questa versione

  – Kernel 2.6.19.2.
  – MySQL 5.0.27.
  – Multiple security fixes.
  – Fix kernel boot issue on IDE hard disks.
  – Major bug fixes to some packages

Se vi volete scaricare la iso la trovate qui. (ancora non sembra disponibile però;-) )

Social Bookmarks

Hide Sites

Proprio oggi è uscita la beta 3 di Trustix 3.0.5 che porta queste migliorie

  - Kernel 2.6.19.1.
  – MySQL 4.1.22.
  – Postfix 2.2.11.
  – Multiple security fixes.
  – Major upgrades to some critical packages.
  – Added support for xfs, reiserfs and jfs.
  – Enabled keyboard selection screen.
  – Fixed partition table sync issue during installation

Un fatto molto importante, (che ho provato sulla mia pelle!!) è che dovrebbero aver risolto il bug che non permetteva (Beta 2, nella Beta 1 nessun problema) di creare un volume raid 1 in fase di installazione (la cosa più grave del mondo).
Leggendo sul forum ufficiale, era riportato che questo bug era stato già risolto e sarebbe stato implementato nella successiva beta.
Appena tornerò al lavoro (nel 2007!!!Ci vogliono un pò di ferie!!!) la proverò!
Sito ufficiale Trustix e mirros (anche se ci sarà da aspettare qualche giorno per avere le iso distribuite)

Social Bookmarks

Hide Sites

Uno dei principali usi del nostro amato GNU/Linux è sicuramente quello del firewall.
Potente, economico, versatile e facile da configurare…bhe non sempre!!!
Rispetto ad ipchains, il vecchio firewall che stava nei kenrnel 2.0, Iptables/Netfilter ha reso la sintassi meno contorta, ma per creare regole elaborate può essere sempre una pratica ostica.
Inoltre le appliances firewall commerciali più conosciute, permettono di considerare il traffico entrante ed uscente non in schede di rete, ma in visione più ampia, in zone.
Ogni zona può “gestire” anche più schede di rete, e le interazioni tra zone saranno governate da policy di default che potranno essere “superate” da regole specifiche, ma andiamo con calma!!
Il files fondamentali che troverete in /etc/shorewall sono i seguenti

• zones
• interfaces
• policy
• rules

Ovviamente i nomi sono esplicativi, definizione delle zone, delle interfacce per ogni zona, delle policy di default tra zone e le specifiche regole.
Adesso vi riporterò una configurazione tipica con due schede di rete, con regole che bloccano il traffico di ingresso se non verso determinati ip, blocco totale del traffico in uscita (nattato) escluso determinate porte ed inoltre dei redirect per l’interazione con Dansguardian/Squid e p3scan, ovviamente il nome delle zone sono indicativi

/etc/shorewall/zones

#ZONE   TYPE            OPTIONS         IN                      OUT
#                                       OPTIONS                 OPTIONS
fw      firewall
verde   ipv4
rossa   ipv4
#LAST LINE – ADD YOUR ENTRIES ABOVE THIS ONE – DO NOT REMOVE

/etc/shorewall/interfaces

#ZONE   INTERFACE       BROADCAST       OPTIONS
verde   eth0
rossa   eth1    -       routeback
#LAST LINE — ADD YOUR ENTRIES BEFORE THIS ONE — DO NOT REMOVE

/etc/shorewall/policy

#SOURCE         DEST            POLICY          LOG             LIMIT:BURST
#                                               LEVEL
rossa   fw      DROP
rossa   verde   DROP
verde   fw      ACCEPT
verde   rossa   DROP
fw      verde   ACCEPT
fw      rossa   ACCEPT
#LAST LINE — DO NOT REMOVE

/etc/shorewall/rules

#ACTION SOURCE          DEST            PROTO   DEST    SOURCE          ORIGINAL        RATE            USER/
#                                               PORT(S) PORT(S)         DEST            LIMIT           GROUP
#SECTION ESTABLISHED
#SECTION RELATED
SECTION NEW
LOG:info        verde   fw      tcp     22
LOG:info        verde   fw      tcp     10000
ACCEPT  rossa:XX.XX.XX.XX   $FW     tcp     22
ACCEPT  rossa:XX.XX.XX.XX   $FW     tcp     10000
DNAT    rossa:XX.XX.XX.XX     verde:192.168.0.113     tcp     3389
REDIRECT        verde   8110    tcp     110
REDIRECT        verde   8080    tcp     80
ACCEPT  verde   rossa   tcp     13,17,21,22,23,25,43,53,80,81,110,113,119,143,443
ACCEPT  verde   rossa   tcp     465,993,995,1352,1755,1863,2003,2345,3389,4711
ACCEPT  verde   rossa   tcp     2082,2401,4800,4899,5190,5900,7070,8080,8081,8443,8827,8775,10000
ACCEPT  verde   rossa   tcp     50022,50080
ACCEPT  verde   rossa   tcp     6665:6669
ACCEPT  verde   rossa   tcp     1001:1010
ACCEPT  verde   rossa   tcp     65120:65122
ACCEPT  verde   rossa   tcp     60000:60010
ACCEPT  verde   rossa   tcp     31443
ACCEPT  verde   rossa   udp     37,53,123,3052,4569

Due breve righe su casi particolari (messi per esempio)
ACCEPT  rossa:XX.XX.XX.XX   $FW     tcp     22 (accetta collegamenti ssh da un determinato ip)
ACCEPT  rossa:XX.XX.XX.XX   $FW     tcp     10000 (accetta collegamenti sulla porta webmin)
DNAT    rossa:XX.XX.XX.XX     verde:192.168.0.113     tcp     3389 (port forwarding su un server windows 2003 interno. sempre solo da un determinato ip esterno)
REDIRECT        verde   8110    tcp     110 (per il check del traffico da parte di p3scan)
REDIRECT        verde   8080    tcp     80 (per il controllo dei contenuti da parte di Dansguardian)
Questa serie di regole dovrebbero permettervi una navigazione tranquilla degli utenti, ma anche una certa sicurezza (ad esempio impedire il peer to peer)
Maggiori info sulla sintassi le trovate nella documentazione ufficiale.
Inoltre le distro più adatte per questo uso, IMHO sono Debian e Trustix.
A presto con nuovi articoli sul tema!
Ah dimenticavo, un ottimo frontend per Shorewall è l’onnipresente Webmin!

Social Bookmarks

Hide Sites

Dansguardian, come molti di voi sapranno, è un content filter, un applicativo che si frappone tra l’utente ed il proxy Squid.
Il suo compito è quello di impedire la visualizzazione di siti con contenuto inappropriato, per esempio siti di armi, pornografici, di estremismo religioso ma anche impedire il download di contenuti potenzialmente pericolosi quali file .dll .exe .scr .cab e così via.
Inoltre è disponibile una patch per integrare l’antivirus ClamAv.
Tornerò con un post specifico sulla configurazione di Dansguardian, in particolare per la distro Trustix ma adesso volevo parlare di un piccolo “bug” che affligge gli utenti MSN Messenger (ed il nuovo Live).
Infatti per funzionare non basta solamente che la porta 80 sia aperta, ma anche che sia possibile “scaricare” delle .dll indispensabili per il funzionamento del Messenger.
Questi file sono ad esempio sqmserver.dll e dClient31.dll.
Ovviamente noi non configureremo Dansguardian per permettere il download di qualsiasi dll, ma discrimineremo i siti dal quale sarà possibile farlo, ovvero nella cartella /etc/dansguardian troveremo il file exceptionsitelist, che come dice il nome stesso, contiene i siti che “saltano” la protezione del content filter.
I siti da aggiumgere, linea per linea, sono:

1. live.com (il nuovo portale Microsoft)
2. msn.com
3. microsoft.com (ovviamente)

Così facendo risolviamo contemporaneamente il problema dei download degli aggiornamenti di Windows ed Office (file .cab)

Social Bookmarks

Hide Sites

Breve post per riportare un bug in Trustix 3.0.5 beta 2, già conosciuto da qualche giorno dal team di sviluppo, ma che ho riscontrato stamane anche io, per una installazione.
Se in fase di installazione volete creare dei volumi RAID bootabili, Anaconda, o meglio, Disk Druid, non vi farà andare avanti, dicendovi che non è possibile bootare da volumi raid!
Questo è dovuto ad un bug introdotto nella beta 2 della iso di Trustix 3.0.5, infatti il problema non è presente nella beta 1.
Il bug è già stato risolto è sarà fixato nella prossima beta 3 di Trustix 3.0.5.
Il workaround attuale è semplicemente di installare il sistema dalla iso beta 1 (se avete ovviamente necessità del raid) e poi aggiornare il sistema con il classico swup –upgrade

Social Bookmarks

Hide Sites

Continuerò questa serie di post su Trustix con un altra applicazione utile, che uso a casa ed al lavoro, ovvero la centralizzazione della scansione antivirus per la posta POP3.
Indubbiamente tutti i pc hanno l’antivirus,ma quante volte per negligenza dell’utente non sono aggiornati?
Quindi meglio installarlo sul server direttamente, ed anche per Linux esistono decine di antivirus, ma il più famoso è sicuramente ClamAV.
Ma in questo mio post, volevo parlare di qualcosa di diverso che il classico server di posta linux, ma di un qualcosa che faccia la scansione dei messaggi provenienti da qualsiasi server Internet in realtime, prima che arrivino alla casella dell’utente..
Praticamente un Proxy POP3 trasparente all’utente, installato nella macchine firewall.
Intanto maggiori informazioni su http://p3scan.sourceforge.net
Pacchetti necessari da installare con swup sono openssl-devel e pcre-devel
Scaricate il sorgente e scompattatelo

editare prima di tutto il Makefile, sicuramente su Trustix 3.0.5 va cambiata la directory man8 da MANDIR=$(PREFIX)/man/man8 a MANDIR=$(PREFIX)/share/man/man8
Inoltre nei file sorgenti dovrete cambiare dove trovate l’include #include <pcre.h>  in #include <pcre/pcre.h>

A questo punto con make e make install il programma dovrebbe essere installato.
Adesso in /etc/p3scan/p3scan.conf troverete la configurazione; una base e funzionante è questa

pidfile = /var/run/p3scan/p3scan.pid
maxchilds = 10
ip = 0.0.0.0
port = 8110
user = amavis
notifydir = /var/spool/p3scan/notify
virusdir = /var/spool/p3scan
template = /etc/p3scan/p3scan-it.mail
subject = Subject: “[Virus] Trovato virus in questa email:”
scannertype = basic
scanner = /usr/bin/clamscan –no-summary
virusregexp = .*: (.*) FOUND

Vi rimando al sito o al file p3scan.conf.sample per le spiegazioni
OCCHIO l’utente deve essere lo stesso del demone clamd, in questo caso amavis.
Inoltre queste directory /var/spool/p3scan /var/run/p3scan/ /etc/p3scan devono essere di proprietà del solito user.
Adesso non rimane che ridirezionare le connessioni verso la porta 110

iptables –t nat –A PREROUTING –p tcp –i eth0 –dport 110 –j REDIRECT –-to-port 8110

Dove eth0 si intende l’interfaccia lato lan.
Per far partire il servizio service p3scan start
E se tutto vi va bene troverete questo in /var/log/messages

Sep 2 06:32:43 trustix p3scan[2875]: P3Scan Version 2.3.2
Sep 2 06:32:43 trustix p3scan[2875]: Selected scannertype: basic (Basic file invocation scanner)
Sep 2 06:32:43 trustix p3scan[2875]: Listen now on 192.168.100.1:8110
Sep 2 06:32:43 trustix p3scan[2876]: Changing uid (we are root)
Sep 2 06:32:43 trustix p3scan[2876]: Running as user: amavis

Adesso siete protetti!
Inoltre è possibile integrare p3scan con l’anti spam Spamassassin.
Su questo interessante (e complesso) programma, tornerò in un successivo post, ma intanto per usarlo con p3scan basta aggiungere queste due righe al file di configurazione

checkspam
spamcheck = /usr/bin/spamc

dove il percorso di spamc può variare a seconda della distribuzione.

Social Bookmarks

Hide Sites

Trustix è una distribuzione Linux prettamente indirizzata alla configurazione di server, quindi niente X ed applicazioni
inutili, come calcolatrici, giochini e altre amenità (fino a non molto tempo fa usavo CentOS per i server e firewall, ma
devo dire che Trustix è decisamente molto meglio, basti vedere /etc/rc3.d in cui niente (nemmeno sshd!) è attivo per default
e ci sono solo i servizi voluti.
Si possono però creare proxy/content filter, firewall e qualsiasi server con relativa facilità, c’è una grande community
e sul sito uno wiki decisamente ben fatto..vi rimando a www.trustix.org
In questo post vi spiego brevemente come creare un server OpenVPN, incentrato soprattutto sul collegamento many to one, ad
esempio lavoratori che hanno un notebook con il quale collegarsi alla lan.
Particolarità di OpenVPN, che può funzionare anche in udp e quindi con un firewall dietro NAT, basta che dall’esterno sia
raggiungibile la porta dove il server è in ascolto.
Addirittura in laboratorio ho testato l’attraversamento di ben 3 NAT internet–>FIREWALL–>altro firewall perimetrale–>server vpn di una piccola VLAN…
Dall’esterno potevo fare tutto sulla VLAN di destinazione.
C’è da tenere conto che OpenVPN supporta periferiche virtuali quali TUN e TAP.
TUn lavora con pacchetti IP, TAP con frame TAP; questo vuole dire che per creare delle cose come lan virtuali, trasferimento dati da file server remoti o cose simili, dobbiamo usare TAP, che in pratica è un driver Ethernet virtuale (layer 2).
TUN è per tunnel ip (layer 3), ora però da quel che so tun integra il 95% di codice di tap e tap dovrebbe essere integrateo in tun, in ogni caso sempre meglio specificare!
Per prima cosa cercare su Google un server mirror di Trustix dove scaricare dal contrib i pacchetti di OpenVPN, LZO, OpenSSL e PAM.
Una volta installati c’è da eseguire questa serie di comandi

cd /etc/openvpn
cp -a /usr/share/doc/openvpn-/easy-rsa .
cd easy-rsa
vi vars
. vars
mkdir keys
touch keys/index.txt
echo “01″ > serial
./build-dh
./build-ca
./build-key-server server
./build-key client

questo crearà il certificato e chiave privata server, il certificato e chiave per un client, il certificato di Certification Authority ed i parametri Diffie Helmann.
NOTE: potete creare più di un client, ad esempio client1 client2 client3 e così via, a patto che ognuno abbia un nome unico da dare alla richiesta Common Name.
Inoltre se volete che i vostri clients debbano collegarsi tramite l’ausilio di una password usate ./build-key-pass come script.
A questo punto una configurazione tipo per il server è questa (DEVICE TAP)

port 7000
proto udp
dev tap
tls-server
mode server

dh /etc/openvpn/easy-rsa/keys/dh1024.pem
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/testsrv.crt
key /etc/openvpn/easy-rsa/keys/testsrv.key

ifconfig 10.0.1.1 255.255.255.0
ifconfig-pool 10.0.1.100 10.0.1.200
push “route 192.168.1.0 255.255.255.0 10.0.1.1″
push “route 192.168.0.0 255.255.255.0 10.0.1.1″
push “dhcp-option DNS 192.168.0.30″
push “dhcp-option WINS 192.168.0.30″

keepalive 10 120
max-clients 100

comp-lzo
persist-key
persist-tun

verb 4
;mute 20
log /var/log/openvpn/dynamic
status /var/log/openvpn/status

mentre per il client

cert client.crt
key client.key

# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# These settings are shared by all clients
client
ns-cert-type server
user nobody
group nobody
remote xxx.xxx.xxx.xxx 7000
ca ca.crt
tls-client
dev tap
proto udp
resolv-retry infinite
nobind
persist-tun
persist-key
comp-lzo
verb 3

Per i client Windows vi consiglio questo sito openvpn.se, una GUI molto carina per gestire graficamente il client!
Questo è tutto, buone VPNs!

Social Bookmarks

Hide Sites