.:: Maurizio Pelizzone ::.

SSH è uno di quei servizi che installo e configuro sempre, sia nel caso di Firewall, che di Web Server, Mail Server, File Server, ecc …

Con il rilascio di debian etch, in caso di un installazione minimale fatta tramite netinst, è necessario installarlo manualmente, ma come di sempre, questa operazione e resa banale da apt …

A differenza di altri servizi che uso come mamma debian li ha preparati, per il sig SSH ho preso l’abitudine di modificare alcuni parametri del suo file di configurazione ( /etc/ssh/sshd_config ) che poi nella pratica si riducono in verità alla “rettifica” di due parametri ed all’inserimento di una terza riga.

La prima rettifica è relativa alla porta che secondo l’ICANN è la 22 ma che quando posso cerco di cambiare.

La seconda modifica blocca l’accesso per l’utente root. In questo modo nel caso riuscissero ad entrare si trovano con un utente con permessi limitati.

Il terzo cambiamento è una conseguenza del secondo in quanto se come root l’accesso non è permesso, e bene garantirlo a qualcun’altro.

Aggiungiamo quindi una riga indicando il nome dell’utente autorizzato.

Il tempo necessario per queste operazioni e al di sotto dei 60 secondi … e personalmente ritengo che i benefici siano pienamente ripagati da cotanto lavoro.

Link per approfondire:

1. Lista di porte standard
2. Uso e configurazione di Secure Shell
3. Getting started with SSH

Technorati: SSH, OpenSSH, Secure Shell,
BlogBabel: SSH, OpenSSH, Secure Shell,

Se digitiamo al prompt di una macchina linux “# ls -alt” ci viene restituita una lista dei file.
Sulla prima colonna troviamo 10 lettere che indicato come sono impostati i permessi di quella directory o file.
Sulla seconda il numero di hard link (collegamenti fisici) ( ma di questo ne parleremo un’altra volta. )
Sulla terza e quarta rispettivamente nome del proprietario e nome del gruppo.

Cominciamo dalla prima colonna: La prima lettera indica se è una directory (d) , un link simbolico (l) o un file (-) mentre le restati 9 ( a gruppi di 3 ) definiscono i permessi per proprietario, gruppo e altri utenti.

I tipi di permesso possono essere

1. lettura (r)
2. scrittura (w)
3. esecuzione (x)

Nell’esempio qui sotto abbiamo un file dove il proprietario può leggere e scrivere ( rw-) , il gruppo può solo leggere ( r–) ed infine tutti quelli che non fanno parte del gruppo possono solo leggere ( r– ). Andando direttamente alla terza e quarta colonna ( root suser ) possiamo capire che questo file appartiene all’utente root ed al gruppo suser -rw-r--r-- 1 root suser ..................... Leggi il resto »

In alcuni casi è molto utile essere in due sulla stessa console ma difficilmente si ha il lusso di potersi sedere uno affianco all’altro.

Per sopperire a questo problema ho scoperto screen, una specie di VNC per la shell.

L’uso è semplicissimo:

installiamo il programma

#apt-get install screen

poi diamo il comando:

#screen

adesso da un qualsiasi altro pc ci colleghiamo in ssh e digitiamo

#screen -x

da questo momento tutto quello che digitiamo su una console verra anche visualizzato sull’altra …

per terminare la sessione condivisa basta un "exit"

Tratto da un post sul ng linux.debian.user.italian

Inizio con il riportare la definizione di Rsync scritta su Appunti di informatica libera.

Rsync è un sistema di copia tra elaboratori (o anche all’interno del file system dello stesso sistema locale), in grado di individuare e trasferire il minimo indispensabile di dati, allo scopo di allineare la destinazione con l’origine. L’uso di questo programma è molto semplice ed è simile a quello di rcp (Remote shell copy) o anche di scp (Secure shell copy). L’aggiornamento dei dati, in funzione delle opzioni utilizzate, può basarsi sul confronto delle date di modifica, delle dimensioni dei file e anche sul calcolo di un codice di controllo (checksum). In linea di principio, a meno di utilizzare opzioni che specificano qualcosa di diverso, non conta il fatto che i dati siano più recenti o meno, basta che questi siano diversi per ottenerne il trasferimento.

Alla luce di quanto scritto personalmente lo trovo un buon sistema per effettuare dei backup dove non ci sono problemi di spazio ( in quanto la copia viene fatta 1 a 1 con l’originale )

Supponendo di voler effettuare il backup della directory /home su /backup_giornaliero possiamo semplicemente scrivere :

rsync -a -v --delete /home /backup_giornaliero

questo il significato dei parametri …

• -a duplica anche le sottodirectoy in modo ricordsivo
• -v ci da il dettaglio dello svolgimento della copia
• –delete cancella i file sotto /backup_giornaliero che non esistono in /home

Ma come possiamo automatizzare questo comando ? Io ho usato cron. ( per una guida in italiano vi suggerisco questo link )

Ho editando il file /etc/crontab e aggiunto questa riga:

0 0 23 * * * root rsync -a -v --delete /home /backup_giornaliero

In questo modo ogni giorno alla 23.00 viene fatto partire rsync

Dato che sono paranoico e che un backup non mi basta , una volta alla settimana ed una volta al mese preferisco farne un altro. 0 23 * * * root rsync -a -v --delete /home /backupgiornaliero 0 2 * * 0 root rsync -a -v –delete /home /backupsettimanale
0 5 1 * * root rsync -a -v –delete /home /backup_mensile


In questo modo tutte le sere faccio il backup su /backupgiornaliero Ogni domenica alla 2 del mattino lo faccio su /backupsettimanale Ed il giorno 1 di ogni mese alla 5 del mattino viene fatto su /backup_mensile

Ricordiamoci di creare le directory !!!

Mi rimane ancora una domanda … come faccio a sapere se il backup è stato eseguito ? Mi faccio mandare una mail !!! 0 23 * * * root rsync -a -v --delete /home /backupgiornaliero | mail tuamail@dominio.it -s “Log Backup”
0 2 * * 0 root rsync -a -v –delete /home /backupsettimanale | mail tuamail@dominio.it -s “Log Backup”
0 5 1 * * root rsync -a -v –delete /home /backup_mensile | mail tuamail@dominio.it -s “Log Backup”

In questo modo grazie all’opzione -s ed all’utilizzo della pipe ci inviamo l’output di rsync nella nostra casella di posta.

Prima di tutto .. Che cos’è un server LDAP ?

La sigla LDAP è l’acronimo di Lightweight Directory Access Protocol ( protocollo “leggero” per l’accesso a servizi di directory) ed ha funzioni di accesso simili a quelle di un database. La differenza sostanziale può essere cercata nella parola “leggero”: si tratta cioè di un sistema che ha alcune funzioni di un database ma è specializzato in modo da ottimizzare le prestazioni per l’uso attraverso la rete in operazioni di lettura, lista e ricerca di informazioni contenute in un “server” LDAP, ovvero un sistema che risponde a richieste di operazioni da parte di “clienti” effettuate mediante il protocollo stabilito. Un server LDAP consente di effettuare operazioni di inserzione, cancellazione ed aggiornamento dei dati, come un database generico, ma e’ ottimizzato per effettuare operazioni di ricerca ed accesso alle informazioni.

Se usate sarge ( debian ) è una passeggiata … # apt-get install slapd A questo punto parte un wizard di configurazione dove ci viene chiesto il nome del dominio ( in pratica il nome della radice del nostro albero gerarchico ) e la password di amministratore.

Se sbagliamo qualcosa o vogliamo riconfigurarlo basta digitare # dpkg-reconfigura slapd in questo modo farete ripartite il wizard di prima quante volte vorrete.

A questo punto vi chiederete come diavolo facciamo per amministrarlo … Bhe … io ho provato diversi tools poi ho trovato la pace dei sensi con phpldapadmin.

Grazie a sarge installarlo è davvero banale: # apt-get install phpldapadmin. Per usarlo avremo bisogno di apache , php e alcune estensioni di php … fortunatamente apt si occupa delle dipendenze e dopo aver riavviato il webserver ( # /etc/init.d/apache restart) possiamo collegarci al seguente indirizzo: http://ip-del-server/phpldapadmin.

Dopo aver digitato la password saremo liberi di aggiungere tutti i nodi di cui avremo bisogno scegliando tra diversi template per l’inserimento.

Durante i miei esperimenti ho avuto dei problemi con l’accesso amministrativo che ho risolto indicando nel file di configurazione di phpldapadmin ( che dovreste trovare in /etc/phpopenldapadmin/) l’accesso tramite sessioni e non tramire cookies.

Per i possibili usi di questo servizio immagino che abbiate già i vostri obbiettivi …
Io personalmente avevo bisogno di una rubrica condivisa sui client di posta elettronica.

Riferimenti:
http://www.debian.org/releases/stable/
http://www.openldap.org/
http://phpldapadmin.sourceforge.net/