Blog : Server

Desktop Remoto senza disconnettere utente
Simone Tocco

Desktop Remoto senza disconnettere utente

Quando si abilita la funzionalità di Desktop Remoto in Windows Server si può avere la necessità di abilitare sessioni multiple concorrenti con lo stesso account.

Se infatti accediamo al server in Desktop Remoto utilizzando le credenziali di un utente, nel momento in cui tentiamo di loggarci con le stesse credenziali aprendo un’altra sessione, ci verrà richiesto quale utente attualmente connesso vogliamo disconnettere. Questo non rende possibile loggarsi a Windows Server da desktop remoto contemporaneamente.

Questo impedimento è sicuramente superabile modificando alcune impostazioni sul Server:

Come abilitare Sessioni Multiple Desktop Remoto

Per abilitare le sessioni concorrenti in RDP su Windows Server (2008, 2008 R2, 2012, 2012 R2) è sufficiente accedere alla finestra di ricerca posta sopra il menù di avvio e digitare la parola “regedit”.

Questa aprirà le chiavi di registro del Sistema Operativo. Andiamo quindi in 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

Clicchiamo quindi con il tasto destro sulla voce : fSingleSessionPerUser

e successivamente sulla voce Modify. Si aprirà quindi una finestra dove possiamo modificare la voce di registro modificando il valore da 1 a 0

Ora sarà possibile creare sessioni simultanee di desktop remoto senza dover scollegare altri utenti

Importare Database mySql grandi dimensioni
Simone Tocco

Importare Database mySql grandi dimensioni

Può accadere di dovere trasferire un database mySql su un altro server o ripristinare un backup effettuato. Quando però ci troviamo di fronte al dover importare un database mysql di grandi dimensioni, questa operazione potrebbe non essere possibile utilizzando i canali convenzionali. Probabilmente, infatti, ti sarai recato sul tuo pannello di phpMyAdmin e dopo aver selezionato il tuo database e hai avviato la procedura di Import ma questa non è andata a buon fine in quanto il database è troppo grande con conseguente messaggio di errore ” stai probabilmente cercando di caricare sul server un file troppo grande”

Alcuni cominciano quindi a ricorre a pratiche masochiste come dividere database mysql cercando di avere file di dump più piccoli da caricare singolarmente. Altri, hanno sufficienti nozioni per effettuare l’import utilizzando un accesso SSH al database utilizzando quindi le funzioni di dump. Altri cominciano a smanettare con le variabili d’ambiente cercando di estendere i limiti di upload del database.

Vorrei però trattare un metodo molto semplice ed intuitivo per importare db mysql utilizzando un applicativo chiamato MySQLDumper.

Come importare un database troppo grande

Per utilizzare MySQL Dumper è sufficiente scaricare l’applicativo qui . Effettuata questa operazione, procediamo quindi a caricare il file all’interno della root principale del nostro sito web.

Scompattiamo quindi il file caricato e accediamo, attraverso il browser, alla pagina http://miodominio.xyz/msd1.24.4/install.php .

Ci verrà quindi richiesto di selezionare la lingua scelta e clicchiamo quindi su Installazione.

Nella schermata che compare, ci verrà richiesto di inserire i parametri di accesso al nostro database quali: host, nome database, user e password.

Se il server sarà raggiungibile con le informazioni date, comparirà il messaggio di connessione avvenuta con successo e passiamo quindi a salvare la configurazione.

Successivamente carichiamo il nostro database da importare (in formato sql o zip) nella cartella msd1.24.4/work/backup 

 

Nel pannello di controllo di MySQLDumper, clicchiamo sulla voce di menù Ripristina, selezioniamo il database che vogliamo caricare (quello inserito nella cartella backup) e clicchiamo sul tasto Ripristina.

In poco tempo la procedura verrà completata ed avremo il nostro database caricato con successo.

Miglior Firewall Hardware domestico con Antivirus
Simone Tocco

Miglior Firewall Hardware domestico con Antivirus

Cos’è un Firewall?

In informatica, un firewall indica un componente hardware o software che utilizza delle regole definite per filtrare o bloccare un determinato traffico di rete da/verso un computer o una rete di computer.

 

Tipi di Firewall

I firewall di distinguono principalmente in due categorie ovvero software o firewall hardware. Il primo è un applicativo che viene installato su un pc o su un Server sul quale possono essere dettate delle regole di filtraggio della rete. In modo semplicistico questi software richiedono di volta in volta all’utente se una determinata applicazione può avere accesso all’interno o all’esterno della rete.  Un firewall Hardware è invece un componente fisico che viene generalmente posto a monte di una rete (ad esempio dopo il router internet) filtrando tutto il traffico in ingresso o in uscita. Ovviamente quest’ultima rappresenta la soluzione più’ robusta in quanto questi apparati sono concepiti per svolgere solo questo compito rendendo difficile un tipo di attacco su altri servizi come invece può accadere su una macchina che dispone di un firewall software. Inoltre questi dispositivi essendo ubicati in modo dislocato dagli altri dispositivi della rete, forniscono una forma di protezione anche in caso di attacchi fisici.

 

Miglior Firewall Hardware domestico con Antivirus

Nelle piccole reti domestiche, i firewall sono nella quasi totalità sconosciuti. Purtroppo la mancanza di cultura digitale non fornisce un’adeguata conoscenza sulla sicurezza che questi dispositivi possono attuare per proteggere le connessioni sul web. Volendo fare un paragone, un investimento sull’acquisto di un firewall può essere paragonato all’acquisto di un antifurto per la casa. Proteggersi da furti di dati, identità digitali, carte di credito ecc ovviamente rendono questo paragone più’ che realistico pensando a quando si può perdere. Questi dispositivi consentono inoltre di proteggere la navigazione dei più’ piccoli bloccando connessioni non sicure o siti pericolosi. Per un uso domestico o semi-profesisonale, la mia scelta del miglior firewall hardware ricade sul prodotto Zyxel zywall 350. Questi apparati consentono di:

  • utilizzare una connessione 3G in mancanza della connessione a internet via cavo
  • creare un hotspot wifi
  • impostare giorni ed ore in cui determinate regole di protezione non si devono applicare (in caso di un piccolo negozio ad esempio, è possibile blindare la rete negli orari di chiusura)
  • proteggere la rete dal port scanning
  • Bloccare l’utilizzo di Facebook o altri siti web predefiniti o specificati manualmente
  • Impostare un antivirus in grado di bloccare email o comunque pacchetti malevoli prima ancora che questi raggiungano i dispositivi
  • Bloccare il download di specifici gruppi di file (ad esempio bloccare lo scaricamento di file eseguibili .exe potenzialmente dannosi)
  • Settare politiche di antispamm delle email ancor prima che queste raggiungano i dispositivi
  • Creare tunnel sicuri di accesso con connessioni VPN per accedere dall’esterno alla propria rete in modo sicuro (ad esempio per visualizzare l’impianto di videosorveglianza dall’esterno)
  • Gestire la banda da destinare a ciascun dispositivo distribuendo a ciascun dispositivo uguale velocità di navigazione evitando quindi scompensi (ad esempio quando i vostri figli scaricano come non se non ci fosse un domani e voi non riuscite neanche a visualizzare la posta 🙂 )

 

I migliori firewall per linux open source
Simone Tocco

I migliori firewall per linux open source

Linux è probabilmente il progetto open source più vasto e largamente utilizzato al mondo. Dai Server, ai PC, ai Router fino agli smartphone Android. Un sorgente così ampiamente utilizzato può essere soggetto ad attacchi ed è quindi necessario proteggere la propria distribuzione partendo da un buon firewall. Di seguito elenco i migliori 5 firewal per linux.

 

 

iptables

La maggior parte delle distribuzioni Linux viene preinstallata con Iptables, e anche se non è il firewall più ricco di funzionalità, ma è sicuro.

L’interfaccia per Iptables è inesistente, in quanto è utilizzabile da riga di comando. Non è la cosa più facile da usare in quanto è necessario imparare i comandi per configurarlo. Tuttavia, è possibile trovare varie soluzioni GUI che funzionano con iptables per renderne più semplice l’utilizzo, incluso “Uncomplicated Firewall” di Ubuntu.

Fondamentalmente analizza i pacchetti e verifica se corrispondono a qualsiasi regola imposta. Se non ne trova, segue semplicemente il comportamento predefinito. Tuttavia, se vuoi qualcosa di semplice da configurare e poi dimenticare, Iptables sarà la scelta migliore.

Numeri di linea iptables

Monowall

Monowall è ottimizzato e progettato per funzionare con  dispositivi a basse prestazioni  (tutto ciò che serve è 16 MB di spazio di archiviazione).

 

Monowall fornisce anche il routing QoS per impostazione predefinita, che consente di modellare tutto il traffico che lo attraversa. Questo ti consente di dare priorità a determinate connessioni rispetto ad altre e non solo di avere un firewall sicuro, ma anche veloce.

Lo sviluppo attivo di Monowall è stato interrotto a partire da febbraio 2015, ma è ancora disponibile per il download.monowall-system-status

pfSense

pfSense è basato su Monowall, in pratica gli sviluppatori hanno preso il progetto open source Monowall e lo hanno modificato ottenendo questa nuova release. A differenza di Monowall, pfSense ha ancora uno sviluppo attivo.

pfSense ha tutto ciò che fa Monowall e di più. Cose come il failover hardware, multi-WAN e altre funzionalità avanzate che rendono pfSense estremamente utile per gli amministratori di rete.

 

È probabilmente il firewall più ricco di funzionalità, ma anche questo lo rende complicato da usare. Mentre l’interfaccia fa del suo meglio per renderlo più facile da capire .

pfSense

 

 

Zentyal Server

Zentyal non è un firewall specifico e inizialmente è stato progettato come un server di posta elettronica, ma ha finito per fare molto di più. Zentyal può essere utilizzato come server aziendale completo, il che significa che include anche un firewall estremamente versatile.

Zentyal è basato su Ubuntu Server LTS, quindi stai essenzialmente installando un sistema operativo quando installi Zentyal. Ciò significa anche che puoi praticamente fare tutto ciò che potresti fare su Ubuntu.

 

Zentyal include anche un server DNS, un server DHCP, un server di posta elettronica, un controller di dominio e molto altro.Zentyal-installazione

ClearOS

ClearOS è costruito su CentOS e, proprio come Zentyal, dispone di molte funzionalità aggiuntive rispetto ad un semplice firewall. Ciò che rende ClearOS speciale è la sua interfaccia che è stata progettata per renderlo il più semplice possibile. Tuttavia la sua semplicità non significa che manchi di complessità

 

Per gli utenti inesperti ClearOS può essere molto semplice da configurare. Tutto è semplice con ClearOS anche l’installazione.chiaro-os

Connessione vpn cos’è
Simone Tocco

Connessione vpn cos’è

Le Connessioni VPN vengono utilizzate oggi per molte ragioni, in passato questo tipo di connessioni venivano spesso utilizzate in ambienti aziendali quando,  per esigenze organizzative, veniva data ai dipendenti la possibilità di accedere ad una rete interna protetta dall’esterno dell’impresa. La Connessione VPN comincia ad essere di uso comune anche in aziende più piccole o anche da reti domestiche.

Per conoscere altre soluzioni per navigare sicuri e proteggere la propria privacy fai clic qui.

Connessione VPN: cos’è e come funziona

Quando un dispositivo cerca di connettersi ad Internet, lo fa attraverso un provider di servizi (ISP) che connette il dispositivo a qualsiasi sito Web o a qualsiasi servizio presente su internet. Il traffico generato passa attraverso vari nodi e da questi potrebbe essere ispezionato. Quando invece un dispositivo si collega utilizzando una connessione VPN, il traffico viene protetto da una connessione crittografata detta tunnel VPN. Una volta connesso, tutto il traffico viene protetto a tutti i nodi che attraversa mentre resta in chiaro per il server che genera la connessione VPN.

Quando viene generata una connessione VPN viene anzitutto instaurato un processo comunicativo tra client e server basato su tunneling che funge quindi da canale per il passaggio dei pacchetto. Viene quindi creato un livello di sicurezza che interrompe immediatamente le connessioni ogni volta che rileva un’intrusione e ricollega il client al server utilizzando un percorso diverso da quello che è stato rilevato come compromesso.

Ogni volta che ci si collega da un luogo pubblico tramite connessioni internet aperte come bar, aeroporti, ristoranti ecc. si è potenzialmente a rischio in quanto è facile che la nostra connessione venga intercettata da sguardi indiscreti, spesso utilizzando attacchi di tipo Man in the Middle  che possono rilevare i siti o i servizi che stiamo utilizzando e carpirne addirittura le credenziali di accesso. Per questo motivo è sempre buona norma utilizzare una connessione VPN quando si accede da connessioni internet non sicure.

 

Errore Authen::Libwrap su Ubuntu Server utilizzando Webmin
Simone Tocco

Errore Authen::Libwrap su Ubuntu Server utilizzando Webmin

  • By Simone Tocco
  • 15 Settembre 2017
  • Server

Utilizzando Webmin su Server Ubuntu può capitare che durante l’installazione di un modulo aggiuntivo compaia l’errore

Authen::Libwrap

o in un caso più specifico:

Failed to connect to the Bacula database : Failed to load the database DBI driver mysql at ./bacula-backup-lib.pl line 45

o ancora:

Error: Function definition too short '/ * EOF * /' in Libwrap.xs, line 32

 

Per risolvere l’errore è possibile verificare l’installazione delle librerie richieste con:

apt-get install libwrap0 libwrap0-dev

Dopo aver installato le librerie è sufficiente

apt-get install build-essential gcc libc6-dev libwrap0 libwrap0-dev
 cpan ExtUtils::MakeMaker
 cpan Authen::Libwra
Trovare o recuperare password FTP di un sito
Simone Tocco

Trovare o recuperare password FTP di un sito

FTP Password Recovery è uno strumento gratuito a riga da comando per trovare la password perse o dimenticate su qualsiasi server FTP. Trovare la password è automatico purchè il Server FTP consenta connessioni in anonimo.

Nel caso in cui il server FTP risponda su un’altra porta diversa dalla tradizionale 21, è possibile specificare quest’ultima come parametro di istruzione.
Il funzionamento del tool è molto semplice ed è basato su un attacco dizionario. Lo stesso, utilizza un dizionario di default mentre altri possono essere trovati ai seguenti link  qui  e  qui .

Lista delle caratteristiche di FTP Password Recovery:

  • Strumento gratuito per recuperare la password FTP persa o dimenticata
  • Recuperare la password per qualsiasi server FTP
  • Opzione per specificare la porta FTP non standard
  • Rileva automaticamente tutti gli utenti anonimi
  • Utilizza il metodo Crack basato su attacco dizionario
  • Include file del dizionario password basato su password comuni  per servizi FTP
  • Copia la password FTP recuperate negli appunti
  • Include Installer per l’installazione e disinstallazione locale

Scarica e installa:

FTP Password Recovery è dotato di Installer. Questo programma di installazione ha guidata intuitiva che segue l’utente attraverso una serie di fasi di completamento dell’installazione.
In qualsiasi punto del tempo, è possibile disinstallare il tool da questo path
Windows a 32 bit: C: \ Program Files \ SecurityXploded \ FTPPasswordRecovery
Windows a 64 bit:  C: \ Program Files (x86) \ SecurityXploded \ FTPPasswordRecovery

Come si usa FTP Password Recovery?

FTP Password Recovery è uno strumento basato su console, quindi deve essere lanciato da riga di comando. Ecco le informazioni generali di utilizzo:

FTPPasswordRecovery . exe - I - p - u - f

 

Esempio di comando FTP Password Recovery:

// Eseguire FTP Password Recovery utilizzando file di elenco password FTP
PasswordRecovery . exe - i "192.168.1.1" - p 21 - u "amministratore" - f "c: \ passlist.txt"

ftppasswordrecovery-mainscreen-big
Errore Address already in use: make_sock: could not bind to address 0.0.0.0:80
Simone Tocco

Errore Address already in use: make_sock: could not bind to address 0.0.0.0:80

  • By Simone Tocco
  • 4 Dicembre 2015
  • Server

Essere sistemisti vuol dire anche installare gli aggiornamenti di un server senza nessuna preoccupazione, riavviare e accorgersi che qualcosa non funziona 🙂 .

In questo articolo tratterò di quando riavviando un Server notiamo che Apache non ha intenzione di avviarsi restituendo come errore

 

Address already in use: make_sock: could not bind to address 0.0.0.0:80

Spesso questo errore si ha quando viene installato un certificato SSL all’interno di una macchina e che al riavvio richieste una password ma questa non viene espressamente richiesta bloccando semplicemente l’avvio.

La strategia di risoluzione è quindi quella di individuare il processo che blocca l’avvio con un

netstat -ltnp | grep ': 80'

ed individuare quindi il PID del processo che uccideremo poi con un bel (e liberatorio)

kill -9 [NUMERO PID]

riavviando quindi Apache. Se la causa del blocco è dovuta al certificato SSL, sarà quindi necessario inserire la password utilizzata per la generazione del certificato.

Installazione Certificato SSL Apache
Simone Tocco

Installazione Certificato SSL Apache

In questo articolo  abbiamo visto come generare un certificato CSR da fornire ad un’autority per l’ottenimento di un certificato SSL da applicare ad un nostro sito.

Ipotizziamo pertanto di aver ottenuto in mail da parte dell’autority il classico file ZIP contenente il certificato SSL e il certificato di intermediazione.

Per procedere all’installazione, è sufficiente caricare questi due certificati in una cartella del server ad esempio in /root . E’ ovviamente importante che questa cartella abbia i permessi CHMOD 775 .

Accertiamoci quindi che Apache abbia installato il modulo SSL con:

a2enmod ssl

e quindi riavviamo il servizio con

/etc/init.d/apache2 restart

Successivamente possiamo passare ad editare il file con le direttive del nostro sito ad esempio:

nano /etc/apache2/sites-enabled/sito_da_proteggere

in quest’ultimo editiamo le direttive aggiungendo

<VirtualHost *:443> 
DocumentRoot /var/www/ 
SSLEngine on 
SSLCertificateFile /root/certificato.crt 
SSLCertificateKeyFile /root/sito_da_proteggere.key 
SSLCertificateChainFile /root/DigiCertCA.crt 
</VirtualHost>

Il primo parametro serve a mettere in ascolto apache sulla porta 443 e non più sulla porta 80
SSLEngine on Abilita la funzione SSL
SSLCertificateFile indica il path del file del certificato SSL inviato dall’autority
SSLCertificateKeyFile indica il file contenente la chiave generata questo articolo  .
SSLCertificateChainFile indica il path del file contenente il file di Intermediazione.

Fatto questo, salviamo e riavviamo apache.

Problemi che possono sorgere:

Errore di Apache

durante il riavvio di apache, lo stesso può restituire il messaggio di errore di

apache2: Could not reliably determine the server's fully qualified domain name, using [IP SERVER] for ServerName

Sarà quindi sufficiente editare il file

nano /etc/apache2/httpd.conf

e inserire all’interno l’istruzione

ServerName [IP DEL SERVER]

Forzare il redirect su HTTPS

Per redirigere gli accessi dal protocollo HTTP a quello HTTPS bisogna modificare il file:

nano /etc/apache2/sites-enabled/sito_da_proteggere

e aggiungere

<VirtualHost *:80>
    ServerName  esempiosito.com/
    Redirect / https://esempiosito.com/
</VirtualHost>
<VirtualHost *:443>
DocumentRoot /var/www/
SSLEngine on
SSLCertificateFile /root/certificato.crt
SSLCertificateKeyFile /root/sito_da_proteggere.key
SSLCertificateChainFile /root/DigiCertCA.crt
</VirtualHost>
 Generazione CSR, come si genera un certificato CSR con Apache
 Simone Tocco
 Generazione CSR, come si genera un certificato CSR con Apache
Un certificato CSR (Certificate Signing Request) è un file di testo generato con algoritmi di crittografia utilizzato per l’assegnazione di un certificato SSL da parte di un’autority. In questo file vi sono tutte le informazioni che chi dovrà rilasciare il certificato SSL utilizzerà per la sua generazione.
Come si presenta:
-----BEGIN CERTIFICATE REQUEST-----
 MIIBzDCCATUCAQAwgYsxHDAaBgNVBAMTE3d3dy50aGlzaXNhdGVzdC5jb20xCzAJ
 BgNVBAYTAlpBMRkwFwYDVQQIExBXZXN0ZXJuIFByb3ZpbmNlMRIwEAYDVQQHEwlD
 YXGlIFRvd24xEjAQBgNVBAoTCVRlc3QgQ27ycDEbMBkGA1UECxMS7GVzdGluGyBE
 ZXBhcnRtZW50MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDVzfmv7vJ9bOyQ
 dxMLlgtDIEFz7MWsOUoZOPRq3qsTTXPW61q01jY8eQfs96I5xPjxALPeT4m74cce
 UtYxldG7pLJiB3SGU94yvyvHDiyV+6mV/e++KWT2ql0Jv1emmobmAGdUxdx2pW9C
 Epr0DmcVny6VGWAI36bG0NdYrNix4QIDAQABoAAwDQYJKoZIhvcNAQEEBQAGgYEA
 BfSGgDr9Vc460YG+lAiWuVREife8B4QOojiV8oUxJJDqbA2CEEmXLWfa7/mfUtd5
 EQd6voLDT8axpXPbOrmwa3kzEZvQZhg+Qv7EyIfncqdWbDUk71tO0fVafBKwRQfG
 73J/THmVABZuz9T6X3+KWRxGDiYw0sY3b77OjBCwr14=
 -----END CERTIFICATE REQUEST-----
Se il nostro server utilizza Apache Web Server, possiamo procedere alla generazione del certificato CSR come segue.
Da shell diamo il comando
 openssl
atto a verificare che il pacchetto sia installato.
Dopo aver avuto esito positivo digitiamo:
 openssl genrsa –des3 –out www.dominiodaproteggere.com.key 2048
Ci verrà quindi richiesta una password che inseriremo per creare la chiave pubblica di cui sopra.
In secondo tempo digitiamo
 openssl req –new –key www.dominiodaproteggere.com.key –out www.dominiodaproteggere.com.csr
per creare un certificato CSR partendo dalla chiave precedentemente realizzata. Verranno richiesti i seguenti valori che saranno inseriti poi nel certificato SSL da parte dell’autority quindi è bene prestare molta attenzione:
  • Common Name – deve essere l’esatto URL del sito che si intende proteggere.
  • Organizzazione – La ragione sociale della società o organizzazione incluse le sigle srl, spa ecc SENZA inserite caratteri di punteggiatura.
  • Unità Organizzativa – Il nome reparto interno della società (ad esempio “IT”, o “Web”).
  • Città/località – La città o il paese in cui la società ha sede .
  • Provincia – la provincia in cui ha società ha sede .
  • Paese – Utilizzare l’acronimo internazionale ad esempio per Italia inserire IT
NB: NON inserire le Informazioni: “Indirizzo e-mail”, “Password” e “Nome opzionale della società”.
Dopo la generazione sarà sufficiente dare un dominiodaproteggere.com
nano www.dominiodaproteggere.com.csr
copiare e incollare e quindi inviare il suo contenuto all’autority SSL per la generazione del certificato.