Problema: non sembra esserci spazio sufficiente sul disco per eseguire installazioni ed aggiornamenti con apt-get
Per risolvere il problema è sufficiente cancellare i vecchi linux-headers e linux-image del Kernel. Questi file si trovano in /usr/src/
Per verificare le versioni installate anzitutto controlliamo il contenuto della suddetta cartella con:
1
ls/usr/src/
Dovremmo vedere un elenco di file chiamati linux-headers, linux-image, linux-image-extra ed altri. Per esempio potremmo trovare un elenco come il seguente:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
/usr/src/linux-headers-3.13.0-132-generic
/usr/src/linux-image-3.13.0-132-generic
/usr/src/linux-image-extra-3.13.0-132
/usr/src/linux-headers-3.13.0-132
/usr/src/linux-image-3.13.0-132
/usr/src/linux-image-extra-3.13.0-132
/usr/src/linux-headers-3.13.0-133-generic
/usr/src/linux-image-3.13.0-133-generic
/usr/src/linux-image-extra-3.13.0-133
/usr/src/linux-headers-3.13.0-133
/usr/src/linux-image-3.13.0-133
/usr/src/linux-image-extra-3.13.0-133
/usr/src/linux-headers-3.13.0-135-generic
/usr/src/linux-image-3.13.0-135-generic
/usr/src/linux-image-extra-3.13.0-135
/usr/src/linux-headers-3.13.0-135
/usr/src/linux-image-3.13.0-135
/usr/src/linux-image-extra-3.13.0-135
/usr/src/linux-headers-3.13.0-137-generic
/usr/src/linux-image-3.13.0-137-generic
/usr/src/linux-image-extra-3.13.0-137
/usr/src/linux-headers-3.13.0-137
/usr/src/linux-image-3.13.0-137
/usr/src/linux-image-extra-3.13.0-137
Nel mio caso vedo che ho installate le versioni 3.13.0-132,3.13.0-133, 3.13.0-135 e 3.13.0-137 del kernel.
Questo significa che posso cancellare, a meno di non averne bisogno per specifici motivi (ma se non li conosco, probabilmente non ne ho bisogno) le versioni 132, 133 e 135. Devo lasciare invece la versione 137.
Dopo svariate prove sono giunto alla conclusione che per cancellare una determinata versione, senza lasciare fastidiosi rimasugli, è sufficiente digitare la seguente serie di istruzioni (immaginiamo di voler eliminare la versione 132):
Per chi volesse cancellare più versioni in un colpo solo, senza stare a perdere tempo a modificare i numeri nelle precedenti righe, ho creato un piccolo script per Python (io uso questo per fare pulizia sul disco) che mi genera i comandi da incollare sul terminale.
Oggi ho deciso di cimentarmi nell’installazione di quel obbrobrio modaiolo che è CentOS. Dico così perché è a tutti gli effetti utilizzato da meno del 20% dei webserver ed in generale mi sono convinto che venga scelto più per una questione di moda, che per qualche reale vantaggio rispetto ad Ubuntu/Debian.
Lungi dal voler scatenare una guerra tra distribuzioni, questo resta naturalmente un mio personalissimo parere, corroborato da “qualche” statistica (cioè non toglie, che io stesso, in momenti di malignità, abbia installato CentOS, per il morboso gusto dell’esperimento sulla pelle d’altri).
Comunque sia avventuriamoci in questo mondo e vediamo un po’ di differenze rispetto ad Ubuntu e Debian.
Anzitutto ci viene chiesto che cosa intendiamo fare, scegliamo la prima opzione (banalmente premiamo INVIO, oppure I) e proseguiamo.
A questo punto compare una schermata con interfaccia grafica dove scegliere la lingua di installazione.
Scegliamo l’italiano come nella figura seguente e poi proseguiamo.
Selezioniamo Continua e ci troviamo di fronte alla schermata di tutte le impostazioni possibili.
Notiamo come è segnalato un “problema” sulla destinazione dell’installazione, unica cosa che dobbiamo scegliere effettivamente. Tutti gli altri parametri sono preconfigurati nella versione minima predefinita e possiamo lasciarli tali. Clicchiamo quindi su destinazione di installazione.
Scegliamo il nostro disco (nel mio caso quello da 30GB) e lasciamo la configurazione automatica (come avremmo fatto per Ubuntu). Clicchiamo su FATTO.
Adesso è possibile scegliere Avvia installazione.
Mentre prosegue l’installazione, con tanto di banner pubblicitario non richiesto (e questo già la dice lunga su dove ci stiamo avventurando) possiamo configurare la password di root ed eventuali altri utenti. In questo caso creiamo soltanto il nostro utente root dandogli una password. Clicchiamo su password di root.
Se si trattasse di una vera installazione online ci converrebbe, naturalmente, scegliere una buona password. Io ne metto una semplice, che però non sia troppo semplice e venga accettata. Il fatto stesso che il sistema “protesti” all’inserimento di “password” è un altro dei punti che trovo detestabili, visto che ho scelto linux proprio per fare, e sbagliare anche, di testa mia. Ma procediamo. Io ho messo una password un po’ più complessa, anche se si tratta di un esempio.
Quando l’installazione è completata possiamo riavviare il sistema.
Adesso possiamo cominciare a lavorare.
2. Connessione in SSH e configurazione rete
Se avete scelto l’installazione minima prima di potersi collegare in SSH, dopo aver inoltrato le porte su VirtualBox, qualora stesse lavorando sotto NAT come sto facendo io, è necessario avviare il servizio di rete. Per farlo digitiamo:
1
dhclient
Senza questo servizio avviato non ci si può nemmeno collegare a internet.
Apriamo putty (o il nostro client ssh) e colleghiamoci normalmente alla macchina che abbiamo appena installato.
A questo punto impostiamo la rete perché si avvii automaticamente ad ogni riavvio del sistema (altrimenti dovremmo farlo noi a mano). Per poter modificare il file avremo bisogno di un editor di testo, quindi installiamo nano (ce ne sono anche tanti altri):
1
yum install nano
Ci verrà chiesto di confermare l’installazione e sarà sufficiente premere y o s, in base a quello che viene proposto.
Fatto questo identifichiamo la nostra scheda di rete, ifconfig non funziona perché andrebbe installato, quindi digitiamo:
1
ip addr
Nel mio caso vengono mostrate le seguenti due schede:
1
2
3
4
5
6
7
8
9
10
11
12
1:lo:<LOOPBACK,UP,LOWER_UP>mtu65536qdisc noqueue state UNKNOWN qlen1
Faccio notare che la prima interfaccia di rete è quella locale, chiamata lo, mentre la seconda è la scheda di rete della macchina virtuale (in una configurazione su macchina fisica qui avremmo eth0 probabilmente) chiamata enp0s3.
Da qui possiamo anche vedere che alla scheda di rete è stato assegnato l’indirizzo IP 10.0.2.15 (classica configurazione di VirtualBox).
Quindi andiamo a vedere i file di configurazione di rete e digitiamo:
1
ls/etc/sysconfig/network-scripts/
Questo ci mostrerà vari file di configurazione, come nella schermata seguente:
Notiamo i primi due file che hanno i nomi ifcfg-enp0s3 e ifcfg-lo. Modifichiamo quindi il file di configurazione della scheda di rete:
1
nano/etc/sysconfig/network-scripts/ifcfg-enp0s3
Ci dovremmo trovare di fronte a qualcosa di simile a questo:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=dhcp
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=enp0s3
UUID=5c133616-0362-451e-adce-a6c5b5a11c90
DEVICE=enp0s3
ONBOOT=no
Modifichiamo il parametro ONBOOT=no facendolo diventare ONBOOT=yes. Salviamo premendo CTRL+O e riavviamo il computer per accertarci che sia tutto andato bene.
Per riavviare digitiamo:
1
reboot now
Se tutto è andato bene potremo accedere normalmente in SSH.
3. Installazione server LAMP
Adesso è il momento di installare il nostro server LAMP (Linux + Apache + MySQL + PHP). Anzitutto digitiamo:
1
yum install httpd
Una volta completata l’installazione dobbiamo avviare il servizio e configurare il firewall perché sia accessibile.
Quindi per avviare il servizio digitiamo:
1
2
systemctl start httpd.service
systemctl enable httpd.service
Mentre per configurare il firewall utilizziamo firewall-cmd digitando:
Faccio notare che quello che viene configurato sono 2 servizi, ovvero due porte, HTTP 80, HTTPS 443.
Andando all’indirizzo http://192.168.56.1/ (questo è il mio indirizzo della macchina virtuale) possiamo verificare che il server web funzioni correttamente (apparirà una pagina con scritto Testing 123…)
Adesso dobbiamo installare MySQL / MariaDB, MariaDB è l’evoluzione del MySQL, compatibile con quest’ultimo. Nel nostro caso installiamo MariaDB (giusto per variare un po’ sul tema, per il MySQL la procedura è analoga). Quindi digitiamo:
1
yum-yinstall mariadb-server mariadb
Faccio notare che il flag -y permette di installare tutto senza ulteriori richieste di conferma. In modo analogo a prima digitiamo poi:
1
2
systemctl start mariadb.service
systemctl enable mariadb.service
In questo modo abilitiamo ed avviamo il servizio. Adesso però dobbiamo impostare la password dell’utente principale del database, che si chiama sempre root, anche se è diverso dal root di sistema. Oltre a questo vogliamo configurare alcuni parametri di sicurezza. Digitiamo:
1
mysql_secure_installation
Verranno poste le seguenti domande:
Enter current password for root (enter for none): PREMIAMO INVIO, non c’è nessuna password di root per ora
Set root password? [Y/n]: Y
New password: METTIAMO UNA PASSWORD
Re-enter new password: RIPETIAMO LA SUDDETTA PASSWORD
Remove anonymous users? [Y/n] Y
Disallow root login remotely? [Y/n] Y
Remove test database and access to it? [Y/n] Y
Reload privilege tables now? [Y/n] Y
In questo modo abbiamo messo in sicurezza e configurato il nostro database.
Adesso è il turno del PHP. Per assicurarci di scaricare la versione più recente, ovvero il PHP7, aggiorniamo la repository.
A questo punto comincia una piccola avventura degna solo di CentOS. Anzitutto bisogna abilitare il PHP affinché venga eseguito dal motore php-fpm (il PHP è un linguaggio compilato sul momento e può essere eseguito da diversi motori). Per qualche ragione l’installazione con yum non si occupa di questa cosa. Spostiamoci quindi in /etc/httpd/conf.d/ dove andremo a creare un file di configurazione chiamato fpm.conf. Attenzione, nel nome non c’è niente di speciale, poteva anche essere ilmiophp.conf. L’importante è l’estensione *.conf. Digitiamo quindi:
In questo modo reindirizziamo le richieste dei documento PHP al server fcgi.
A questo punto dobbiamo avviare il servizio e riavviare Apache, digitando la seguente serie di comandi:
1
2
3
4
systemctl enable rh-php70-php-fpm.service
systemctl start rh-php70-php-fpm.service
systemctl enable httpd
systemctl start httpd
Eventualmente, se avessimo bisogno, possiamo visualizzare lo stato del servizio fpm-php digitando:
1
systemctl status rh-php70-php-fpm.service
A questo punto creiamo la nostra solita pagina PHP di prova in /var/www/html (stesso percorso predefinito di Ubuntu):
1
nano/var/www/html/index.php
Dentro il file incolliamo:
1
2
3
4
5
<?php
phpinfo();
?>
Salviamo premendo come al solito CTRL+O.
Adesso apriamo la nostra pagina web al solito indirizzo di prima http://192.168.56.1/. Quello che vediamo, per la nostra massima felicità, è quanto segue:
Questo dipende dal fatto che abbiamo creato il file index.php come root, e non gli abbiamo assegnato l’utente di Apache. Per farlo anzitutto controlliamo l’utente con cui gira Apache aprendo:
1
nano/etc/httpd/conf/httpd.conf
Scendendo nel file vedremo una voce simile a questa:
1
2
3
4
5
6
7
8
9
10
#
# If you wish httpd to run as a different user or group, you must run
# httpd as root initially and it will switch.
#
# User/Group: The name (or #number) of the user/group to run httpd as.
# It is usually good practice to create a dedicated user and group for
# running httpd, as with most system services.
#
User apache
Group apache
In questo caso (ma è così di solito) il nostro utente è apache ed il gruppo è apache. Quindi modifichiamo i permessi sul file appena creato:
1
chown apache:apache/var/www/html/index.php
A questo punto ricontrolliamo e scopriamo due cose:
1. l’errore si presenta uguale a prima
2. la guida di CentOS stesso fa totalmente schifo. Le istruzioni da incollare dentro ad fpm.conf le ho infatti copiate da qui, quello che però non viene detto è che andrebbe anche configurato index.php come pagina predefinita, altrimenti apache pensa che, non essendoci una index.html, non si possa accedere alla cartella
Quindi digitiamo:
1
nano/etc/httpd/conf.d/fpm.conf
E modifichiamo il file di prima in modo tale che risulti così (ho aggiunto solo l’ultima riga):
Adesso però verifichiamo se è andato davvero tutto bene collegandoci anche al database. Anzitutto creiamo un nuovo database.
Per farlo accediamo al MySQL/MariaDB che abbiamo installato prima. Digitiamo:
1
mysql-uroot-p
Attenzione! La medesima istruzione va digitata anche nel caso che si stia usando MariaDB, come sto facendo io, che vi ricordo è un aggiornamento di MySQL perfettamente retrocompatibile.
Digitiamo la password del database e ci troviamo nella console di gestione di MariaDB, che appare così:
1
MariaDB[(none)]>
Questo significa che non abbiamo selezionato alcun database. Adesso creiamo un database (io lo chiamerò petar):
1
CREATE DATABASE petar;
Proviamo anche a creare un utente chiamato petar e che possa accedere a tale database solamente da localhost (quindi da connessione locale). Per farlo digitiamo:
1
2
CREATE USER petar@localhost IDENTIFIED BY'password123';
GRANT ALL PRIVILEGES ON petar.*TOpetar@localhost;
La password per il nuovo utente sarà password123. Per uscire dalla console del MariaDB digitiamo:
1
exit
Adesso torniamo sul nostro file /var/www/html/index.php di prima e modifichiamolo nella maniera seguente:
Se abbiamo fatto tutto bene andando su http://192.168.56.1/ vedremo qualcosa di simile a questo:
In caso che ci sia stato qualche errore (possiamo riprodurlo di proposito sbagliando la password nel suddetto codice php) dovremmo vedere qualcosa di simile:
Accertiamoci anche che, modificando il codice in questo modo:
In entrambi i casi, affinché le modifiche abbiano successo, è necessario riavviare il firewall:
1
firewall-cmd--reload
Tutto questo è molto bello, ma sinceramente preferisco lavorare con iptables. Ricordiamoci che sia firewalld che iptables sono due software, distinti, che gestiscono il firewall vero che si chiama netfilter. Per verificare che sia installato, dovrebbe esserlo, digitiamo:
1
rpm-qiptables
Il risultato dovrebbe essere qualcosa come: iptables-1.4.21-18.2.el7_4.x86_64
Questo ci indica l’ultima versione installata. Controlliamo quindi, con iptables, qual’è la configurazione attuale.
1
iptables-L
Quello che viene fuori è un casino simile a questo:
ACCEPT tcp--anywhere anywhere tcp dpt:ssh ctstate NEW
ACCEPT tcp--anywhere anywhere tcp dpt:https ctstate NEW
ACCEPT tcp--anywhere anywhere tcp dpt:http ctstate NEW
Chain IN_public_deny(1references)
target prot opt source destination
Chain IN_public_log(1references)
target prot opt source destination
Chain OUTPUT_direct(1references)
target prot opt source destination
Personalmente trovo tragicomico che un’installazione minima di CentOS parta con una simile configurazione di iptables (e soprattutto parta con aperta solamente la porta SSH). Essendo un’installazione minima ci si potrebbe aspettare che il firewall non sia configurato e che tutte le porte siano aperte, per poi dovercene occupare noi.
Per tanto, siccome voglio avere una visione chiara della situazione del firewall, resetto tutto quanto impostando aperte solo le porte per SSH, HTTP e HTTPS. Per farlo mi è sufficiente eseguire il seguente codice da terminale (va bene anche un copia/incolla)
Il risultato di questa purga, digitando iptables -L, dovrebbe essere così:
1
2
3
4
5
6
7
8
9
10
11
12
Chain INPUT(policy DROP)
target prot opt source destination
ACCEPT tcp--anywhere anywhere tcp dpt:http
ACCEPT tcp--anywhere anywhere tcp dpt:https
ACCEPT tcp--anywhere anywhere tcp dpt:ssh
ACCEPT all--anywhere anywhere state RELATED,ESTABLISHED
Chain FORWARD(policy DROP)
target prot opt source destination
Chain OUTPUT(policy ACCEPT)
target prot opt source destination
Per salvare la configurazione dobbiamo installare i servizi di iptables digitando:
1
yum install iptables-services
Abilitiamo il servizio digitando:
1
systemctl enable iptables
Già che ci siamo sbarazziamoci di firewalld:
1
2
systemctl stop firewalld
systemctl mask firewalld
Riavviamo il servizio iptables (fino ad ora abbiamo usato solo il programma client):
1
systemctl restart iptables
E infine salviamo:
1
service iptables save
A questo punto dovremmo ricevere una conferma di questo tipo:
Per accertarci che tutto sia andato bene possiamo riavviare l’intera macchina con un reboot now e ricontrollare lo stato del firewall digitando iptables -L.
5. Installazione di fail2ban
Come ultima operazione installiamo fail2ban, onde limitare le possibilità di ricevere attacchi sulla porta 22 del protocollo SSH. In questo modo evitiamo che si possano fare numerosi tentativi per scoprire i dati di accesso, bannando via via gli indirizzi IP da cui arrivano gli attacchi.
Per installare fail2ban anzitutto aggiungiamo il pacchetto EPEL Project alla nostra repository.
1
sudo yum install epel-release
Qualora risultasse già installato tanto meglio. Procediamo installando fail2ban:
Adesso configuriamo il programma. Per farlo possiamo modificare alcuni file. In particolare teniamo presente le seguenti cose:
/etc/fail2ban/jail.conf questo il primo file di configurazione, è quello predefinito, lo possiamo modificare, ma se vogliamo fare un lavoro pulito ci conviene lasciarlo così com’è
/etc/fail2ban/jail.d/*.conf, questi sono i file *.conf predefiniti, vengono accorpati al file precedente, sostituendo eventuali parametri equivalenti, anche questi file possono essere lasciati intatti così come sono
/etc/fail2ban/jail.local questo è il file di configurazione locale, segue ai due file precedenti, e quindi ogni modifica apportata qui dentro potrà sovrascrivere le precedenti
/etc/fail2ban/jail.d/*.local, infine questa è la cartella nella quale si troveranno i file *.local personalizzati che andranno a sostituire quelli precedenti e verranno accorpati in ordine alfabetico
Quindi anzitutto impostiamo i parametri base per fail2ban modificando il seguente file:
1
nano/etc/fail2ban/jail.local
Il file risulterà vuoto, quindi ci possiamo incollare dentro i seguenti parametri. Questi andranno a sostituire quelli di default.
1
2
3
4
[DEFAULT]
bantime=3600
maxretry=3
banaction=iptables-multiport
A questo punto creiamo un file per l’SSH digitando:
1
nano/etc/fail2ban/jail.d/ssh.local
Ricordiamoci che i file verranno letti in ordine alfabetico, nel nome del file, a parte l’estensione *.local, non c’è niente di speciale. Si poteva anche chiamare 001-config.local.
1
2
3
4
5
[sshd]
port=ssh
enabled=true
maxretry=3
Salviamo e riavviamo fail2ban:
1
systemctl restart fail2ban
Verifichiamo la situazione digitando:
1
fail2ban-client status
Ci dovrebbe comparire qualcosa di simile:
Notiamo che è abilitata una jail per l’sshd. Stessa verifica la possiamo fare su iptables digitando iptables -L e controllando la presenza di una chain per fail2ban.
Per accertarci che tutto vada bene possiamo tentare di accedere in SSHsbagliando password. Inutile dire che una volta bannati dovremo poter accedere direttamente alla macchina per sbannarci.
Per visualizzare gli ip bannati è sufficiente digitare (per la chain f2b-sshd creata fa fail2ban dentro al firewall):
1
iptables-Lf2b-sshd-v-n
In questo caso il mio IP è il 10.0.2.2 e possiamo notare che appare tra quelli bannati:
Per rimuoverlo, ovvero sbloccare l’indirizzo ip bannato, basta digitare:
1
sudo fail2ban-client set sshd unbanip10.0.2.2
A questo punto possiamo accedere nuovamente mediante SSH.
Adesso abbiamo configurato CentOS per essere pronto ed operativo come server LAMP.
Obiettivo: configurare il firewall su Ubuntu adatto ad un webserver, compresi servizi FTP e di posta, capendo come funzionano le regole ed i criteri principali
Suggerimento: per testare la connessione possiamo usare il webserver creato con Apache e provare via via a collegarci alla porta 80, ovvero all’indirizzo del server tramite browser. Nell’esempio dell’altra volta tale indirizzo era http://192.168.56.1
Iptables è un programma che serve a gestire Netfilter, che è il vero firewall della maggior parte dei più moderni sistemi Linux. Su Wikipedia ci sono maggiori dettagli di base, per ora ne estraggo la citazione fondamentale:
Per configurare netfilter attualmente si usa il programma iptables, che permette di definire le regole per i filtri di rete e il reindirizzamento NAT. Spesso con il termine iptables ci si riferisce all’intera infrastruttura, incluso netfilter.
Iptables si basa su 3 catene principali:
INPUT traffico in entrata, per esempio collegarsi da fuori verso il PC in SSH oppure interrogare il server web in HTTP
FORWARD traffico reindirizzato, si usa solo nel caso in cui il PC effettui operazioni di routing
OUTPUT connessioni in uscita, per esempio operazioni di ping
E 3 criteri fondamentali:
ACCEPT permette
DROP blocca come se non esistesse
REJECT blocca inviando un errore
Ci sono anche altri criteri, ma per ora focalizziamoci su questi che sono essenziali per i nostri scopi.
Prima di proseguire capiamo meglio come funzionano le catene (chain). Sul firewall possono essere configurate diverse catene, che verranno visitate nell’ordine in cui sono inserite.
Immaginiamo di avere del traffico in ingresso e due catene come di seguito:
Alle catene vengono aggiunti anelli successivi, allungandole sempre di più. Un pacchetto che entra cerca di passare da un anello dove gli sia consentito, altrimenti, se non trova passaggi liberi, viene scartato. Per riuscire ad attraversare “indenne” il firewall deve visitare tutte le catene successive (devono essere referenziate, ma questo lo vedremo dopo).
Il primo anello rappresenta il criterio generale della catena, ma anche questo lo capiremo meglio dopo.
Questa è una spiegazione vagamente semplicistica, ma per il momento è sufficiente.
NOTA: E’ molto importante ricordare che mentre si apportano le modifiche ad iptables queste non saranno permanente finché non si salvano definitivamente; questo significa che se aggiungiamo dei criteri e poi riavviamo il computer, al riavvio questi non saranno più presenti. Perché diventino permanenti bisogna salvarli e vedremo come dopo.
1. Visualizzare lo stato del firewall (iptables)
Per visualizzare la configurazione del firewall è sufficiente digitare:
1
sudo iptables-L
Nel mio caso viene visualizzato qualcosa di simile (ho già effettuato delle configurazioni):
Notiamo che nella prima chain, quella di INPUT (le prime 3 sono predefinite), c’è un comando inutile che tenta di bloccare i pacchetti dpt:http (dpt = destination port, http = 80), ovvero quelli passanti dalla porta 80 utilizzata per le connessioni web HTTP. Poche righe prima è infatti definita una regola che li fa passare attraverso la catena con ACCEPT, quindi questo DROP è inutile.
2. Accettare tutte le connessioni e ripristinare il firewall alla configurazione base
Per fare il reset del firewall è sufficiente digitare:
1
sudo iptables-F
La -F sta per flush. Questo reimposterà tutte le catene effettuando la cancellazione di tutti gli anelli, lasciando solamente quelli in cima. Questo significa che se la regola per INPUT è ACCEPT resterà ACCEPT, se fosse stata DROP resterà DROP, senza tutte le altre regole a seguire.
Per reimpostare il primo anello della catena è necessario utilizzare:
1
sudo iptables-PINPUT ACCEPT
In questo caso modifichiamo la catena predefinita degli INPUT, impostandola affinché faccia passare tutte le connessioni che non sono state definite. Il primo anello della catena, nel disegno precedente, è il criterio della catena.
Digitando il seguente comando si aprirà l’intero firewall e si cancelleranno tutti i criteri aggiuntivi.
1
2
3
4
sudo iptables-F
sudo iptables-PINPUT ACCEPT
sudo iptables-PFORWARD ACCEPT
sudo iptables-POUTPUT ACCEPT
Per non rischiare che il flush chiuda la connessione SSH possiamo concatenare i comandi con &&.
Immaginiamo di prendere la configurazione del firewall nel primo grafico, ma di cambiare il criterio della prima catena da DROP ad ACCEPT. Il risultato produrrà qualcosa di simile:
Quando il criterio della catena è ACCEPT significa che ogni pacchetto che non sia proibito, oppure sia esplicitamente accettato, passa, ovvero è ACCEPT di default. Se un pacchetto è DROP, al primo DROP è DROP per tutta la catena.
Per modificare il criterio di una catena, come quella di INPUT per esempio, è sufficiente digitare:
1
sudo iptables-PINPUT ACCEPT
In questo caso l’intera catena è su ACCEPT come la catena1 del disegno. Se su INPUT volessimo riprodurre le medesime regole della catena precedente sarebbe sufficiente digitare, in questo ordine:
1
2
3
4
5
sudo iptables-AINPUT-ptcp--dport80-jACCEPT
sudo iptables-AINPUT-ptcp--dport443-jACCEPT
sudo iptables-AINPUT-ptcp--dport21-jDROP
sudo iptables-AINPUT-ptcp--dport21-jACCEPT
sudo iptables-AINPUT-ptcp--dport80-jDROP
Con -Aaggiungiamo un filtro (un anello) ad INPUT (o una catena scelta), -p definisce il protocollo da filtrare, per noi TCP, –dport definisce la porta di destinazione, per esempio la porta 80, -j imposta il jump, ovvero se si passa o si precipita.
NB: i protocolli accettati sono tcp, udp, udplite, icmp, esp, ah, sctp oppure all per prenderli tutti
Per visualizzare la configurazione digitiamo:
1
sudo iptables-L
Il risultato assomiglierà al seguente:
Inutile dire come il criterio ACCEPT presupporrebbe di dover bloccare tutti i pacchetti eccetto quelli desiderati, quindi si preferisce di solito il criterio DROP, per cui sono bloccati tutti i pacchetti eccetto quello desiderati.
Il criterio ACCEPT è invece molto utile in fase di configurazione.
Immaginiamo di voler attivare il firewall solamente sulle seguenti porte: 80, 443, 20, 21, 22 (rispettivamente HTTP, HTTPS, FTP, FTP, SSH). Digitiamo in sequenza:
1
2
3
4
5
6
7
sudo iptables-PINPUT ACCEPT
sudo iptables-AINPUT-ptcp--dport80-jACCEPT
sudo iptables-AINPUT-ptcp--dport443-jACCEPT
sudo iptables-AINPUT-ptcp--dport20-jACCEPT
sudo iptables-AINPUT-ptcp--dport21-jACCEPT
sudo iptables-AINPUT-ptcp--dport22-jACCEPT
sudo iptables-PINPUT DROP
Interrogando iptables il risultato sarà:
4. Aggiungere una nuova catena personalizzata
Oltre alle catene predefinite, per ora abbiamo visto INPUT, OUTPUT e FORWARD, possiamo aggiungere delle ulteriori catene personalizzate.
Creiamo anzitutto la nostra nuova catena che io chiamerò Cerberus (niente di speciale nel nome, giusto per dare un tono fantasy all’esempio)
1
sudo iptables-NCerberus
Adesso aggiungiamo, alla catena delle regole, ma prima di tutto una confessione:
ATTENZIONE! Solamente le catene predefinite possono avere dei criteri come ACCEPT, DROP, REJECT ecc., le catene personalizzate non possono averli, ma vanno collegate a quelle predefinite
Quindi sulla nostra catena personalizzata Cerberus blocchiamo la porta 80.
1
sudo iptables-ACerberus-ptcp--dport80-jDROP
Assicuriamoci che la catena INPUT sia sul criterio ACCEPT e senza altri filtri. In tal caso il nostro server è ancora accessibile sulla porta 80.
Adesso colleghiamo la catena Cerberus alla catena predefinita INPUT, inserendo un jump (un salto potremmo dire)
1
sudo iptables-AINPUT-jCerberus
A questo punto il server non è più accessibile dalla porta 80.
Se interroghiamo iptables per vedere le configurazioni presenti, vedremo qualcosa come questo:
Faccio notare come alla chain Cerberus è segnato un riferimento (1 references)
Per rimuovere il riferimento, e quindi riattivare la porta 80, è sufficiente eseguire:
1
sudo iptables-DINPUT-jCerberus
ATTENZIONE! Bisogna tenere conto dell’ordine della catena e dove viene collegata ogni nuova catena. Immaginiamo di eseguire i seguenti comandi:
1
2
3
4
sudo iptables-PINPUT ACCEPT
sudo iptables-F
sudo iptables-AINPUT-ptcp--dport80-jACCEPT
sudo iptables-AINPUT-jCerberus
In questo modo ripristiniamo tutta la catena INPUT, impostando il criterio su ACCEPT, quindi permettiamo l’uscita dei pacchetti sulla porta 80. In questo caso, la catena Cerberus non serve a nulla.
5. Cambiare ordine ai filtri (anelli) sulla catena
Benché sia possibile eliminare i singoli filtri, non è possibile ordinarli. Esiste però un trucco, ed il seguente:
1
sudo iptables-save>iptables.txt
Questo creerà un file iptables.txt nella posizione nella quale ci troviamo. Apriamo e modifichiamo il file:
1
sudo nano iptables.txt
Quello che ci verrà mostrato è il set di tutte le regole impostate nel firewall. Nel mio caso, dopo le ultime modifiche le regole saranno:
1
2
3
4
5
6
7
8
9
10
11
12
# Generated by iptables-save v1.6.0 on Sat Feb 24 02:19:51 2018
*filter
:INPUT ACCEPT[442:29268]
:FORWARD ACCEPT[0:0]
:OUTPUT ACCEPT[283:46775]
:Cerberus-[0:0]
:f2b-sshd-[0:0]
-AINPUT-ptcp-mtcp--dport80-jACCEPT
-AINPUT-jCerberus
-ACerberus-ptcp-mtcp--dport80-jDROP
COMMIT
# Completed on Sat Feb 24 02:19:51 2018
A questo punto modifico il file invertendo tra di loro la riga 8 e la 9, ottenendo il seguente file:
1
2
3
4
5
6
7
8
9
10
11
12
# Generated by iptables-save v1.6.0 on Sat Feb 24 02:19:51 2018
*filter
:INPUT ACCEPT[442:29268]
:FORWARD ACCEPT[0:0]
:OUTPUT ACCEPT[283:46775]
:Cerberus-[0:0]
:f2b-sshd-[0:0]
-AINPUT-jCerberus
-AINPUT-ptcp-mtcp--dport80-jACCEPT
-ACerberus-ptcp-mtcp--dport80-jDROP
COMMIT
# Completed on Sat Feb 24 02:19:51 2018
A questo punto salviamo il file ed importiamolo nel firewall digitando:
1
sudo iptables-restore<iptables.txt
Adesso controllando di nuovo la configurazione del firewall vedremo:
Adesso possiamo verificare che la porta 80 sia bloccata.
ATTENZIONE! Ricordarsi di cancellare il file iptables.txt se non si trova in un posto sicuro.
6. Eliminare un filtro (anello) della catena
Per eliminare un singolo filtro della catena è sufficiente dichiararlo al “contrario”. Se per esempio per aggiungere il suddetto filtro sulla porta 80 abbiamo digitato:
1
sudo iptables-AINPUT-ptcp--dport80-jACCEPT
Per rimuoverlo è sufficiente digitare:
1
sudo iptables-DINPUT-ptcp--dport80-jACCEPT
Faccio notare che l’unico parametro che cambia è la -A che diventa -D, che starebbe per delete, ovvero cancella.
La rimozione può essere anche effettuata in base al numero di riga nella catena interessata. La prima riga equivale ad 1.
Infine un modo ancora più veloce è quello illustrato al punto 5 per ordinare le regole, semplicemente rimuovendole dal file di testo e reimportandolo.
7. Aggiungere intervalli di porte ad iptables
Per aggiungere un intervallo di porte, per esempio dalla 6000 alla 6010, è sufficiente digitare:
1
sudo iptables-AINPUT-ptcp--dport6000:6010-jACCEPT
Se si interroga iptables all’intervallo scelto si potrebbe vedere qualcosa di simile:
1
ACCEPT tcp--anywhere anywhere tcp dpts:x11:6010
Nella colonna finale notiamo dpts che sta per destination ports, x11 che è il nome della porta 6000, utilizzata da X Windows System. Se la porta non avesse avuto un nome sarebbe comparso il numero.
Se volessimo invece abilitare diverse porte contemporaneamente sarebbe sufficiente digitare:
Questo bloccherà tutte le connessioni sulla porta 80, eccetto quelle provenienti dall’indirizzo 10.0.2.2.
9. Firewall su OUTPUT
Potremmo dire, per semplificare l’idea, che mentre le regole di INPUT si applicano al modello client ⇒ server (noi siamo il server) quelle di OUTPUT si applicano server ⇒ client. Ovvero al momento in cui il nostro server cerca di uscire verso l’esterno.
Questo avviene praticamente in tutte le connessioni, per esempio quando ci colleghiamo in SSH noi dobbiamo poter parlare da fuori al server (client ⇒ server), ma il server deve anche poterci rispondere (server ⇒ client).
Se digitassimo:
1
sudo iptables-POUTPUT DROP
Praticamente nulla uscirebbe dal server.
Per capire meglio questa cosa proviamo a fare la seguente prova. Anzitutto assicuriamoci che l’OUTPUT non abbia filtri e sia su ACCEPT.
Proviamo a scaricare un file sul nostro server (per esempio il file zip di installazione di WordPress). Digitiamo:
1
wget https://wordpress.org/latest.tar.gz
Questo scaricherà nella cartella dove ci troviamo un file chiamato latest.tar.gz.
In questo momento non ci interessa tanto il file quanto il fatto che possa scaricarlo. Adesso proviamo a digitare i seguenti due comandi:
Questo aggiungerà due regole, la prima, che abbiamo già visto, per mantenere aperte le connessioni stabilite, la seconda per bloccare tutte le altre connessioni dall’interno. Questo significa che se un client interroga il server, quindi stabilisce una connessione del tipo client ⇒ server (come quando accediamo con putty al server), allora anche la relativa connessione server ⇒ client necessaria sarà permessa. Altrimenti sarà impossibile collegarsi da dentro al server verso l’esterno.
Se adesso tentiamo il comando precedente:
1
wget https://wordpress.org/latest.tar.gz
Incontriamo il seguente errore:
1
2
Risoluzione di wordpress.org(wordpress.org)...non riuscito:Errore temporaneo nella risoluzione del nome.
Questa connessione dovrebbe avvenire sulla porta 443 (HTTPS) quindi possiamo provare ad aprirla digitando:
1
sudo iptables-AOUTPUT-ptcp--dport443-jACCEPT
Ma anche così facendo il download si blocca sulla risoluzione del dominio. Questo avviene perché il server deve potersi connettere anche in TCP e UDP al DNS sulla porta 53. Quindi è necessario abilitare anche tale filtro digitando:
1
2
sudo iptables-AOUTPUT-ptcp--dport53-jACCEPT
sudo iptables-AOUTPUT-pudp--dport53-jACCEPT
A questo punto il download può avvenire.
Inutile dire che mantenere questo genere di blocco è di scarso interesse quando siamo noi i soli a gestire il server.
10. Configurare il firewall standard per server web con Apache, Webmin, FTP, POP3, SMTP, IMAP e SSH
Fatti tutti questi esperimenti scriviamo la configurazione per il nostro firewall standard, aprendo le porte per i suddetti servizi:
Le uniche porte non predefinite sono quelle per l’FTP passivo che ho messo, giusto per prova, dalla 6000 alla 6010. In realtà converrebbe associare un range più ampio, in base anche al numero di connessioni che si intende ricevere.
Per salvare il tutto installiamo iptables-persistent (se non lo abbiamo già fatto):
1
sudo apt-get install iptables-persistent
Ed infine digitiamo:
1
sudo netfilter-persistent save
Vi ricordate che netfilter è il vero firewall di Linux e iptables “solo” un programma di gestione? Questo comando salva tutti i dati che abbiamo configurato.
L’esercizio in bash che propongo stavolta consiste nell’automatizzare la configurazione di un hosting sul nostro server Apache, ovvero la configurazione del VirtualHost, di un nuovo utente e database MySQL e di un accesso FTP.
L’obiettivo è quello di arrivare ad avere uno script utilizzabile nel modo seguente:
I parametri che vogliamo passare al nostro script sono:
-u: il nome dell’utente che vogliamo creare
-d: il nome del dominio che vogliamo registrare come VirtualHost di Apache
–dbadmin: il nome utente dell’amministratore del database, quello in grado di creare altri utenti all’interno del MySQL
–dbpass: la password del suddetto utente del database MySQL
Questo ci darà occasione per esplorare diverse caratteristiche di bash.
Anzitutto vogliamo acquisire ed elaborare i vari parametri passati al nostro script. Finora abbiamo visto che i parametri possono essere letti usando $# per contare il numero di argomenti, $0 per visualizzare il nome dello script, $1 per prendere il primo parametro, $2 per prendere il secondo e via discorrendo.
Adesso vogliamo prendere un numero indefinito di argomenti e parametrizzarli, vediamo come fare:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
while[[$# -gt 0 ]]
do
parametro="$1"
case$parametro in
-d|--domain)
dominio="$2"
shift
shift
;;
-u|--user)
utente="$2"
shift
shift
;;
--dbadmin)
dbadmin="$2"
shift
shift
;;
--dbpass|--dbpassword)
dbpass="$2"
shift
shift
;;
-h|--help)
aiuto=true
shift
;;
-f|--fix)
ripristina=true
shift
;;
*)
shift
;;
esac
done
Usiamo quindi un ciclo while che continuerà ad andare avanti finché il numero di parametri passati allo script non sarà 0. Quindi acquisiamo il primo parametro $1 e lo passiamo ad una variabile chiamata parametro. Utilizziamo adesso un interruttore (case…esac) per cui in base al valore di parametro si attiveranno diverse opzioni.
Ciascuna opzione è scritta nella forma
1
2
3
4
valore)
...
...
;;
Qui al posto di valore può essere un singolo valore oppure un gruppo diviso da |, nella maniera di valore1|valore2. Al posto dei puntini ci va del codice a piacere che vogliamo attivare in base alla variabile. Il principio, concettualmente, è identico a quello della realizzazione del programma in bash con menu.
Il comando shift, in bash, rimuove gli argomenti passati ad uno script a partire dall’inizio della lista, cioè dal primo argomento. Questo significa che ad ogni ciclo del while non prenderemo il primo argomento, lo controlleremo e poi lo rimuoveremo dall’elenco. Quando si digita due volte shift, si estraggono due parametri.
Viene da se che se l’argomento $1 è, per esempio, uguale a “-d“, allora l’argomento $2 dovrà contenere il nome del dominio e quindi una volta letti li rimuoveremo entrambi.
Se invece l’argomento $1 fosse uguale a “-h” oppure a “–help“, allora visualizzeremmo, senza ulteriori opzioni, una guida allo script. In questo caso dovremmo rimuovere un solo argomento.
Fatto questo cominciamo ad elaborare i parametri acquisiti. Anzitutto controlliamo se sia stato passato un nome utente del database:
1
2
3
4
5
6
7
8
call_check_dbadmin(){
if[[$dbadmin=""]]
then
errore"Inserire utente amministratore del database"
fi
}
Se non c’è un nome utente del database chiamiamo una funzione che stampi l’errore:
1
2
3
4
5
6
errore(){
echo-e"${ROSSO}ERRORE!${NC} $1. Per aiuto usare -h o --help"
exit
}
In questo caso vogliamo usare, visto che possiamo, anche dei colori, e quindi colorare di rosso la parola “ERRORE!”. Per farlo facciamo riferimento all’ANSI escape code.
Quindi possiamo usare le seguenti combinazioni:
1
2
3
4
5
6
7
8
Black0;30Dark Gray1;30
Red0;31Light Red1;31
Green0;32Light Green1;32
Brown/Orange0;33Yellow1;33
Blue0;34Light Blue1;34
Purple0;35Light Purple1;35
Cyan0;36Light Cyan1;36
Light Gray0;37White1;37
Questo significa che se nella string “ERRORE! C’è un errore” fosse scritto “\033[0;31mERRORE!\033[0m C’è un errore” la stringa verrebbe colorata tutta di rosso, fino al nuovo colore che è, in questo caso, quello nullo predefinito. Ovvero così:
Per comodità vogliamo parametrizzare alcuni colori inserendo, in cima allo script il seguente codice:
1
2
3
4
GIALLO='\033[1;33m'
ROSSO='\033[0;31m'
CELESTE='\033[1;34m'
NC='\033[0m'
La variabile NC starebbe per No Color, ovviamente i nomi sono a piacere.
Fatto questo controlliamo se sia stata passata anche la password, se non è stato fatto la richiediamo:
1
2
3
4
5
6
7
8
9
10
call_check_dbpass(){
if[[$dbadmin!=""&&$dbpass=""]]
then
echo-n"$dbadmin password: "
read-sdbpass
echo
fi
}
Potremmo aggiungere altri controlli (per esempio sul nome del dominio, ecc.) ma per ora tralasciamo ed andiamo a creare la cartella del vhost sotto a /var/www.
1
2
3
4
5
6
7
www="/var/www/"
call_crea_cartella(){
mkdir$www$dominio2>/dev/null||errore"Permesso negato. Eseguire come root"
}
Utilizziamo 2>/dev/null per reindirizzare l’output di un eventuale errore e non mostrarlo a schermo, mentre il connettore || vuol dire che, dati due comandi A e B per cui A || B, se A non va a buon fine, allora esegui B.
Fatto questo creiamo subito l’utente FTP dedicato e la relativa password. In questo esempio do per scontato che abbiamo installato ProFTPd e che sia già stato configurato correttamente sul nostro server:
1
2
3
4
5
6
7
8
9
10
11
ftppassword="$(openssl rand -base64 12)"
call_crea_ftp(){
useradd--shell/bin/false$utente
chown$utente:www-data$www$dominio
usermod-d$www$dominio$utente
echo$utente:$ftppassword|/usr/sbin/chpasswd
echo"FTP Password: $ftppassword"
}
Con il primo comando creiamo una password casuale di 12 caratteri.
Creiamo poi un utente chiamato come da argomento e assegniamo, alla cartella creata in precedenza, come proprietario l’utente appena creato e come gruppo www-data (ricordiamoci che sulla cartella deve poter interagire anche Apache). Fatta questa modifica con il comando usermod -d assegniamo la cartella alla home dell’utente. Questo viene fatto per motivi di sicurezza, per cui l’utente che accede al FTP acceda direttamente alla sua “home“, corrispondente anche allo spazio web.
Dopodiché impostiamo la password appena creata come password del nostro utente, ed infine stampiamola a video.
Faccio notare che perché –shell /bin/false non dia problemi, così come la questione della home, è necessario che nel file di configurazione di ProFTPd (/etc/proftpd/proftpd.conf) siano presenti i seguenti parametri così configurati (tipicamente va tolto il cancelletto):
1
2
DefaultRoot~
RequireValidShell off
Fatto questo scriviamo il nostro file del VirtualHost:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
sites="/etc/apache2/sites-available/"
call_crea_vhost(){
cat<<EOF>"${sites}${dominio/./_}.conf"
<VirtualHost *:80>
ServerName$dominio
ServerAdminwebmaster@localhost
DocumentRoot$www$dominio
ErrorLog\${APACHE_LOG_DIR}/error.log
CustomLog\${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
EOF
}
In questo caso vogliamo creare un file del tipo nomedominio.conf dentro a /etc/apache2/sites-available/, già che ci siamo sostituiamo il . con un _, in modo tale che nomedominio.com diventi nomedominio_com e il nome del file nomedominio_com.conf. Con l’istruzione EOF possiamo scrivere direttamente dentro il file il testo contenuto in mezzo.
Fatto questo ricarichiamo Apache:
1
2
3
4
5
6
call_agg_vhost(){
a2ensite"${dominio/./_}"2>/dev/null||errore"Apache non è installato o configurato correttamente."
service apache2 reload2>/dev/null
}
Adesso ci manca solamente il database:
1
2
3
4
5
6
7
8
9
10
11
12
13
newpassword="$(openssl rand -base64 12)"
call_crea_db(){
dbname="${dominio/./_}"
dbname="${dbname/-/_}"
mysql-u$dbadmin-p$dbpass-e"DROP DATABASE IF EXISTS $dbname"2>/dev/null
mysql-u$dbadmin-p$dbpass-e"DROP USER $dbname@localhost"2>/dev/null
mysql-u$dbadmin-p$dbpass-e"CREATE USER $dbname@localhost IDENTIFIED BY '$newpassword'"2>/dev/null
mysql-u$dbadmin-p$dbpass-e"GRANT ALL PRIVILEGES ON $dbname.* TO $dbname@localhost"2>/dev/null
}
Anche in questo caso abbiamo creato una password che assoceremo ad un utente chiamato come il database medesimo e che ha accesso solamente dal server locale.
Infine, per testare il tutto (questo certo non sarebbe uno standard opportuno per un vero hosting) creiamo un file index.php nel VirtualHost appena configurato e inseriamo dentro i seguenti parametri:
Se tutto è andato bene collegandoci al dominio del hosting appena registrato dovremmo veder scritto Nome_Dominio under construction e nessun avviso di Errore database.
Aggiungo anche un’ultima funzione utile per ripristinare il tutto quando si usa il parametro –fix, cancellando quindi il vhost e le relative cartelle:
1
2
3
4
5
6
7
8
9
10
call_rimuovi(){
if$ripristina
then
a2dissite"${dominio/./_}"
rm-R$www$dominio2>/dev/null
rm"${sites}${dominio/./_}.conf"
fi
}
Il codice completo, riorganizzando quanto detto prima, è questo:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
#!/bin/bash
# CONFIGURAZIONE SISTEMA
sites="/etc/apache2/sites-available/"
www="/var/www/"
# CODICE DA NON MODIFICARE
GIALLO='\033[1;33m'
ROSSO='\033[0;31m'
CELESTE='\033[1;34m'
NC='\033[0m'
TAB1='\t'
TAB2='\t\t'
aiuto=false
ripristina=false
newpassword="$(openssl rand -base64 12)"
ftppassword="$(openssl rand -base64 12)"
errore(){
echo-e"${ROSSO}ERRORE!${NC} $1. Per aiuto usare -h o --help"
Obiettivo: ampliare lo spazio su un disco di Ubuntu, aggiungendo un nuovo hard disk ed estendendo il disco con LVM
Prima di inoltrarci in questa guida sui volumi logici suggerisco di dare un’occhiata, per chi fosse ancora alle prime armi, a questo articolo sull’installazione di Ubuntu con LVM. Questo articolo prosegue sulla medesima configurazione dell’articolo citato, dove si suppone che abbiamo già installato Ubuntu predisponendolo per utilizzare l’LVM.
Quello che faremo sarà aggiungere un nuovo disco da 50 GB e poi aggiungere un altro disco da 20 GB col quale espandere il precedente.
LVM sta per logical volume manager (ovvero gestore logico dei volumi) un meccanismo attraverso il quale Linux può accorpare diversi dischi fisici in un’unico volume logico. E’ qualcosa che assomiglia, e sottolineo che si tratta solo di una somiglianza, alle configurazioni in RAID. L’idea potrebbe essere schematizzata nel modo seguente:
Il concetto di fondo è molto semplice e potremmo riassumerlo nel modo seguente: con due hard disk da 50 GB ciascuno posso creare un’unico “disco logico”, ovvero lo spazio che vede il sistema operativo, da 100 GB e posso continuare ad incrementarlo a piacere in base alle mie esigenze. Noi quindi aggiungeremo un disco 50GB e poi lo estenderemo con uno da 20GB, ottenendo uno spazio complessivo di 70GB.
Le potenzialità del LVM non si esauriscono qui, ma per quello che ci serve sapere in questo momento tanto può bastare.
In questo articolo utilizzerò ancora una volta VirtualBox, dove andrò ad aggiungere, al disco già esistente, puta caso da 50GB un secondo disco sempre da 50GB con il quale estendere la memoria a disposizione del mio sistema operativo.
Per aggiungere un nuovo disco alla mia macchina virtuale è sufficiente spostarsi, da VirtualBox, sulle Impostazioni della macchina virtuale e poi su Archiviazione.
A questo punto, come nell’immagine seguente, ci posizioniamo sul Controller SATA e clicchiamo sull’icona col disco ed il più verde e seguiamo la procedura guidata per aggiungere un secondo disco (da me chiamato DiscoUbuntuEsempio2.vdi) da 50 GB.
Fatto questo avviamo la nostra macchina virtuale come al solito. Inutile dire che se stessimo lavorando su una macchina fisica sarebbe sufficiente aggiungere fisicamente un nuovo hard disk al controller SATA.
Una volta dentro Ubuntu andiamo anzitutto a visualizzare l’elenco dei dischi fisici attualmente configurati.
1
sudo pvdisplay
Faccio notare che pv sta per phisical volume, ovvero i dischi fisici collegati all’LVM. Il risultato dovrebbe essere qualcosa di simile a questo.
Nel mio caso ho già collegato il secondo disco, ma solo un disco, quello dell’installazione, è configurato all’interno dell’LVM. Il disco nello specifico è /dev/sda5. (per essere precisi il disco è /dev/sda, mentre quello è il puntatore ad una delle “partizioni” — senza entrare troppo nel merito, che in questo momento potrebbe solo confondere le idee, possiamo dire che un singolo disco, sda in questo caso, può essere “visto” dal sistema operativo in diversi modi)
Adesso andiamo a visualizzare invece tutti i dischi collegati alla mia macchina.
1
sudo fdisk-l
Il risultato sarà esteso perché dovrebbe mostrare anche la RAM e tutti gli altri eventuali dischi e memorie collegati. Nel mio caso ad un certo punto appare:
Faccio notare che abbiamo due dischi, sda, di cui abbiamo parlato poc’anzi, e il nuovo disco sdb che abbiamo aggiunto da poco e che non è partizionato.
A questo punto creiamo una nuova partizione sul disco sdb.
1
sudo fdisk/dev/sdb
Ci verrà chiesto che cosa vogliamo fare. Le opzioni in questo momento sono:
n = nuova partizione
p = partizione primaria
1 = imposta la partizione la prima del disco
Scegliamo n per creare una nuova partizione.
Adesso ci viene chiesto se vogliamo farla primaria (p) o estesa (e). Scegliamo p per farla primaria.
Numero della partizione: 1
Alla domanda sul first sector, primo settore, digitiamo il valore suggerito di default, per me 2048.
Stesso discorso per il last sector, ovvero l’ultimo settore, scegliamo il valore suggerito di default (si può anche premere semplicemente INVIO)
Adesso abbiamo creato il nostro disco da 50GiB (ricordo che secondo il nuovo standard GiB sta per Gibibyte, che equivalgono a 1024 MiB, mentre 1GB equivale a 1000 MB, quindi 1 GiB ≠ 1 GB, inutile dire che per gli irriducibili come il sottoscritto si continuano a chiamare Gigabyte e andare di 1024 in 1024)
Continuando a trovarci su fdisk (che ci chiede un nuovo comando per proseguire o m per la guida), andiamo adesso a modificare il tipo di partizione creata digitando t e premendo INVIO.
t – modifica tipo di partizione
8e – imposta su tipo LVM
Ci verrà chiesto il tipo di partizione e digitiamo 8e.
Se digitiamo L, alla richiesta del tipo di partizione, ci verrà mostrato il seguente elenco:
Se abbiamo fatto tutto bene ci verrà mostrato il seguente messaggio di conferma:
1
Changed type of partition'Linux'to'Linux LVM'.
A questo punto è il momento di scrivere la partizione creta sul disco! Già, non l’abbiamo ancora scritta quindi nessuna di queste modifiche è ancora stata apportata. Le opzioni utili adesso sono:
p = mostra le impostazioni di partizione prima della scrittura
w = scrivi sul disco
Per scrupolo digitiamo p e verifichiamo che sia uscito qualcosa di simile.
Notiamo che sarà creato un puntatore /dev/sdb1 alla nuova partizione che ci accingiamo a creare.
Adesso premiamo w per scrivere tutte le modifiche sul nostro disco (inutile dire che ogni eventuale dato sul disco andrà perso).
Se tutto è andato bene riceveremo un messaggio di conferma come il seguente:
1
2
3
The partition table has been altered.
Calling ioctl()tore-read partition table.
Syncing disks.
Adesso dobbiamo creare il nostro volume fisico. Da terminale digitiamo:
1
sudo pvcreate/dev/sdb1
Adesso creiamo un nuovo gruppo dei volumi (in questo caso abbiamo un singolo volume) e lo andiamo a chiamare secondo-gruppo (il gruppo esistente, come visto con pvdisplay si chiama ubuntu-vg, il nome è a piacere purché sia una parola singola). Digitiamo:
1
sudo vgcreate secondo-gruppo/dev/sdb1
Adesso dobbiamo creare soltanto il volume logico e dargli un nome, per esempio spazio-web. Tra poco capirete meglio anche la scelta, intanto procediamo con:
1
sudo lvcreate-L10G-nspazio-web secondo-gruppo
Faccio notare che abbiamo creato così un volume logico di 10GB (passando la dimensione al comando -L 10G) sullo spazio complessivo disponibile di 50GB. Se avessi voluto utilizzare tutto lo spazio anziché passare il comando -L avrei dovuto scrivere
Il motivo per cui scelgo di non usare tutto lo spazio, o per essere più precisi uno dei motivi possibili, potrebbe essere il seguente: questo disco intendo dedicarlo allo spazio web in /var/www montandolo al posto della cartella esistente. Così tutti i siti web ospitati dal mio server si troveranno su un disco separato da quello principale. In questo modo posso anche controllare l’espansione di tali siti, evitando che mi saturino l’intero disco prima che io possa espanderlo. Qualora la dimensione dei siti dovesse raggiungere i 10GB, i loro utenti (che in teoria potrebbero avere degli accessi dedicati allo spazio web, per esempio mediante FTP) non potranno aggiungere altri file, mentre io potrò espandere lo spazio e adoperarmi per aggiungere nuovi hard disk.
Per chiarire questa idea immaginiamo di ospitare sul server il sito web di Mario e quello di Luigi, due persone distinte e che non si conoscono. In tutto i loro siti condividono 10GB in questo momento; immaginiamo adesso che Luigi decida di caricare sul proprio server web 3 file da 9GB. Dopo il primo upload lo spazio sarebbe saturato e Luigi non potrebbe proseguire con il successivo. Questo provocherebbe degli alert (supponendo che io li abbia configurati) all’interno della macchina e mi permetterebbe di intervenire in due modi: anzitutto controllare come mai lo spazio è cresciuto a dismisura in poco tempo, e allo stesso tempo aggiungere magari un altro paio di GB per permettere a Mario di essere comunque operativo e non sentire la saturazione dello spazio condiviso.
Concludiamo tutta l’operazione formattando il nuovo volume logico appena creato:
1
sudo mkfs-text4/dev/secondo-gruppo/spazio-web
mkfs sta letteralmente per make filesystem e il comando -t mi permette di scegliere il tipo di file system.
Controlliamo la situazione digitando di nuovo:
1
sudo pvdisplay
Dovremmo vedere qualcosa di simile a questo:
Questi sono i nostri due volumi fisici. Controlliamo adesso quelli logici digitando:
1
sudo lvdisplay
Quello che dovrebbe apparirci è la seguente schermata:
In questo caso abbiamo due gruppi distinti di volumi e tre volumi logici. I due gruppi sono ubuntu-vg e secondo-gruppo, mentre i tre volumi logici sono spazio-web, root e swap_1.
Adesso montiamo il volume logico spazio-web sulla cartella /var/www/.
Attenzione! Montando il volume su uno spazio esistente tutto il contenuto di tale spazio verrà sovrascritto, quindi prima dovremmo copiare dentro il nuovo volume il contenuto attuale. I vecchi dati comunque non andranno persi, semplicemente non saranno più visibili. Per capire bene questo passaggio facciamo la seguente serie di operazioni.
Anzitutto controlliamo il contenuto della cartella /var/www digitando:
A questo punto controlliamo nuovamente, come prima il contenuto della cartella /var/www
1
ls/var/www
Il risultato che dovrebbe presentarsi è qualcosa di simile a questo:
Notiamo che non ci sono le cartelle di prima ma solamente una cartella lost+found che si trova anche nella radice (root) del nostro sistema operativo.
Nota: la cartella lost+found esiste su ogni partizione primaria ed ha come scopo quello di collezionare eventuali file danneggiati, perduti o recuperati da fsck (per esempio). Dentro a lost+found possono finire anche file o frammenti di file a seguito di un errore di sistema (es. kernel panic) o un arresto improvviso, oppure per via di inconsistenze del sistema dovute a software o altri generi di errori. In generale quello che si trova dentro a lost+found può essere cancellato perché già eliminato dal sistema o inutile.
A questo punto, a scopo dimostrativo, creiamo dentro la cartella /var/www un file vuoto chiamato file_petar_test.txt con il seguente comando:
1
sudo touch/var/www/file_petar_test.txt
Questo lo facciamo per verificare il comportamento di mount (chiaramente non è necessario per una configurazione normale).
Adesso smontiamo la partizione in modo da copiare il contenuto originale di /var/www nella nuova partizione prima di montarla di nuovo:
1
sudo umount/var/www
Il comando umount smonta la cartella scelta. Effettuando di nuovo un ls sulla cartella /var/www ritroveremo i file precedenti:
Adesso montiamo la partizione (il volume logico) spazio-web su una cartella provvisoria che creeremo dentro a /mnt (la cartella /mnt è pensata per creare dentro le cartelle sulle quali montare volumi aggiuntivi — come è facile immaginare non c’è niente di speciale in tale cartella e il mount può essere effettuato ovunque).
Creiamo quindi la cartella provvisoria con:
1
sudo mkdir/mnt/cartella_sw
Faccio notare che il nome cartella_sw è totalmente arbitrario, l’unica condizione è che rispetti i criteri per la creazione delle cartelle in generale (sw starebbe nel mio caso per spazio-web).
A questo punto possiamo copiare il contenuto da /var/www in /mnt/cartella_sw (se controlliamo il contenuto di quest’ultima cartella noteremo il nostro file txt di prova creato in precedenza)
1
sudo cp-a/var/www/./mnt/cartella_sw/
In questo caso usiamo il comando cp per copiare, con il parametro -a gli diciamo di copiare ricorsivamente tutte le cartelle ed i file figli della cartella genitore. E’ importante scrivere /var/www/. (ovvero il percorso con incluso il punto) perché il . rappresenta il contenuto della cartella, stiamo cioè dicendo a cp che non vogliamo copiare anche /var/www, ma soltanto il suo contenuto e tutti i suoi figli.
Controllando con ls il contenuto di /mnt/cartella_sw ci accertiamo di aver copiato tutto ciò che c’era dentro a /var/www, troveremo ovviamente anche il file di prova creato precedentemente e lost+found.
A questo punto possiamo rimontare il volume logico sulla posizione /var/www (ricordiamoci di smontarlo dalla posizione corrente e cancellare la cartella /mnt/cartella_sw, lo facciamo solo per una questione di ordine). In sequenza eseguiamo quindi:
Controllando il contenuto di /var/www a questo punto dovremmo vedere qualcosa di simile a:
Inutile dire che, in linea di principio, se questa fosse stata un’operazione definitiva, avrei dovuto svuotare il contenuto di /var/www per non occupare inutilmente lo spazio sul disco primario.
A questo punto vediamo alcuni altri comandi utili.
DF, PVS e LVS
Con il comando df (disk free) controlliamo lo spazio sulle partizioni montate.
1
df-h
Il risultato dovrebbe essere simile a questo:
Notiamo che il volume logico ubuntu–vg-root (qui il formato è gruppo_volumi-volume_logico) è montato su / (la radice del sistema), mentre secondo–gruppo-spazio–web è montato su /var/www. Ci vengono mostrate anche le percentuali di utilizzo, 1% nel caso di /var/www.
Adesso vediamo le informazioni sui volumi logici utilizzando lvs.
1
sudo lvs
Faccio notare che, a differenza di df, questo necessità di permessi di root per essere eseguito.
In questo caso ci vengono mostrate le informazioni su tutti i volumi logici che abbiamo creato, comprese le loro dimensioni.
Utilizziamo adesso pvs per visualizzare i volumi fisici:
1
sudo pvs
Quello che otteniamo dovrebbe assomigliare al seguente risultato:
In questo caso vediamo i volumi fisici associati all’LVM, ed in particolare possiamo controllare lo spazio complessivo (PSize) e lo spazio libero (PFree). In particolare notiamo che su sdb1 abbiamo ancora 40GB liberi.
Quindi, riepilogando, abbiamo destinato il volume logico spazio-web, appartenente al gruppo secondo-gruppo, alla cartella /var/www. Il gruppo secondo-gruppo contiene in tutto spazio per 50GB, di cui stiamo usando solo 10GB per il volume logico spazio-web.
Estendere un volume logico
Adesso vogliamo dare altri 20GB allo spazio-web, espandendo quindi /var/www.
Per farlo ci sarà sufficiente utilizzare il comando lvextend:
1
sudo lvextend-L+20G/dev/secondo-gruppo/spazio-web
Ci verrà data conferma che l’estensione è avvenuta con successo; l’estensione può avvenire finché il gruppo dei volumi a cui appartiene il volume logico dispone di spazio libero (PFree).
Utilizziamo di nuovo df -h per verificare la situazione:
1
df-h
E dovremmo vedere qualcosa di simile a questo:
Notiamo che /var/www continua ad essere di 10GB! Questo perché oltre ad estendere il volume logico dobbiamo estendere anche il filesystem. Per farlo ci è sufficiente digitare:
1
sudo resize2fs/dev/secondo-gruppo/spazio-web
Ricontrollando con df -h vediamo che la situazione è diventata come la volevamo all’inizio:
Aggiungere volume fisico al gruppo dei volumi
Aggiungiamo adesso un disco fisico da 20GB al gruppo dei volumi chiamato secondo-gruppo, in modo che lo spazio complessivo passi da 50GB a 70GB.
Per farlo dobbiamo aggiungere naturalmente un nuovo disco, io lo faccio sulla macchina virtuale in questo caso. Verifichiamo i dischi collegati:
1
sudo fdisk-l
Il nuovo risultato dovrebbe essere simile al seguente:
Notiamo che abbiamo un disco su /dev/sdc da 20GB.
Adesso aggiungiamo il disco al gruppo di volume chiamato secondo-gruppo:
1
sudo vgextend secondo-gruppo/dev/sdc
Controlliamo i nostri volumi fisici con:
1
sudo pvs
Questo è il nuovo risultato:
Vediamo che su secondo-gruppo abbiamo ancora liberi 40G (la somma degli spazi liberi sui due dischi precedenti), quindi proviamo ad estendere spazio-web di altri 40GB, oltre ai 20GB precedentemente aggiunti. Eseguiamo i seguenti due comandi, come prima:
1
sudo lvextend-L+40G/dev/secondo-gruppo/spazio-web
Eseguendo questo comando ci viene però detto “Insufficient free space: 10240 extents needed, but only 10238 available“, ci mancano giusto 2 extents (gli extents sono l’equivalente per le LVM dei cluster per i filesystem, entrambi sono le minime unità in cui viene suddiviso lo spazio). Per evitare il problema estendiamo il volume logico su tutto lo spazio disponibile:
Notiamo come il comando assomigli al medesimo meccanismo, eccetto per il +, con il quale creiamo il volume logico su tutto lo spazio disponibile. Adesso estendiamo il filesystem.
1
sudo resize2fs/dev/secondo-gruppo/spazio-web
Prima di poterlo fare potrebbe esserci richiesto un controllo del filesystem medesimo, visto che lo abbiamo esteso poc’anzi.
1
sudo e2fsck-f/dev/secondo-gruppo/spazio-web
In questo modo eseguiamo il controllo e poi effettuiamo di nuovo resize2fs.
A questo punto eseguendo df -h notiamo che /var/www corrisponde a circa 70GB.
OK. Ho barato un po’. Arrivati a questo punto potreste in realtà notare che /var/www non è più collegata al volume logico spazio-web. Questo è successo se avete riavviato il computer per montare il secondo disco aggiuntivo. Per ottenere il risultato precedente è sufficiente montare di nuovo il volume logico, come in precedenza, oppure definire il mount in modo permanente (questo vale per qualunque disco, non solo per i volumi logici).
Montare un disco in modo permanente
Per montare il volume logico in modo permanente, ovvero che rimanga montato dopo ogni riavvio, è necessario modificare il file /etc/fstab.
1
sudo nano/etc/fstab
Per montare il disco utilizziamo la seguente sintassi:
Faccio notare che /dev/mapper/secondo–gruppo-spazio–web è il percorso che ci viene dato da df -h
Salviamo e riavviamo la macchina per verificare se va tutto bene. ATTENZIONE! Prestate moltissima attenzione alla sintassi, un qualche errore potrebbe bloccare l’avvio del sistema e costringerci ad intervenire in modalità di ripristino. La soluzione sarebbe comunque semplice, basterebbe rimuovere l’ultima riga aggiunta a fstab.
Se tutto è andato a dovere eseguendo df -h vedremo /dev/mapper/secondo–gruppo-spazio–web montata su /var/www
Per un po’ di svago pomeridiano propongo oggi un veloce esercizio che unisca bash e PHP. Quello che vogliamo fare è creare uno script che da console ci chieda quali dati inviare mediante POST ad una pagina in PHP, che poi li utilizzerà per conto proprio.
Anzitutto costruiamo una pagina PHP opportunamente posizionata nel nostro webserver come la seguente:
In questo modo la pagina riceverà dei dati dal form e li scriverà nel file dati.txt, poi leggerà il file dati.txt e lo stamperà a schermo prima del form. Inutile dire che si tratta di una pagina a scopo di prova e sarebbe assolutamente inopportuno utilizzare un simile meccanismo online.
Adesso vediamo come creare il nostro script in bash:
Di recente ho riscoperto la mia passione per Final Fantasy 8 grazie alla versione remastered di Steam. In realtà volevo rigiocare alla mia vecchia copia da PC, ma poi ho scoperto che non era più possibile installarla su computer a 64-bit (qualcuno suggeriva un’installazione in modalità provvisoria, per poi dover però correggere ben altri problemi!). Così mi sono messo alla ricerca di una soluzione ed ho scoperto che su Steam c’era una versione aggiornata e funzionante anche su Windows 10!
Vecchia copia da PC! Notare l’offerta per “internet gratis” con i vecchi modem 56k.
Adesso non starò ad approfondire i dettagli su questo gioco che amo profondamente (sì ok, quando ci giocai avevo anche una cotta per quel turbodisfattista di Squall), ma quando un gioco gira su PC inevitabilmente viene da chiedersi se ci sarà anche qualche modo meschino per crackarlo o modificarlo a proprio piacimento.
Ed ho scoperto che c’è! Ebbene sì, esiste già un programma perfettamente funzionante per modificare i file di salvataggio del gioco.
Il programma si chiama Hyne (1.9.2), ed è possibile scaricarlo in diverse versioni da Github.
Da quello che ho potuto testare funziona anche sulla versione Steam, e non appena finisco il gioco non mancherò di divertirmi con un po’ di OP.
Il programma è molto intuitivo ed offre una configurazione dettagliata tramite interfacce grafiche dedicate.
Una volta aperto il salvataggio (i salvataggi di Steam si trovano di predefinito nella cartella Documenti %USERPROFILE%\Documents\Square Enix\FINAL FANTASY VIII Steam\user_XXXXXX) ci si presenterà una schermata simile alla precedente, dove potremo selezionare il salvataggio che ci interessa.
Seguiranno una serie di schermate dalle quali sarà possibile modificare nei più piccoli dettagli le caratteristiche del gioco (io devo ancora giungere al garden di Galbadia)
Una volta fatto è sufficiente salvare il file. Consiglio naturalmente di tenere una copia di backup del file originale, per ogni evenienza.
Obiettivo: interrogare e filtrare il contenuto di un foglio excel come se fosse una tabella di un database SQL
Prepariamo anzitutto un file Excel creando un foglio con dei dati come quelli di seguito:
Questo foglio lo chiamiamo DATI. Faccio notare che nella prima riga ho inserito le intestazioni della nostra tabella.
In un secondo foglio andiamo a creare un pulsante che richiamerà un form. L’idea sarebbe quella di creare un metodo di inserimento che guidi l’utente e gli permetta di filtrare una vasta base dati, eseguendo anche dei comandi di ricerca. Il risultato sarà il seguente:
Se proviamo a cercare qualcosa, per esempio “Mar” l’elenco dovrà essere filtrato e otterremo il risultato seguente:
Fatte queste premesse vediamo come realizzare l’interrogazione del foglio mediante VBA (sorvolo sull’elementare creazione del form).
Anzitutto creiamo una Sub che caricherà i valori nella combobox (cmbSeleziona) e nella listbox (lbSeleziona).
query = "SELECT*FROM[DATI$A:C]WHERE Nome LIKE'%" & nome & "%'"
Else
query="SELECT * FROM [DATI$A:C]"
EndIf
rs.Open query,conn
cmbSeleziona.Clear
lbSelezione.Clear
pos=0
IfNotrs.EOF Then
Do
cmbSeleziona.AddItem rs(1)&" ["&rs(2)&"]",pos
cmbSeleziona.List(pos,1)=rs(0)
lbSelezione.AddItem rs(1)&" ["&rs(2)&"]",pos
lbSelezione.List(pos,1)=rs(0)
pos=pos+1
rs.MoveNext
LoopUntilrs.EOF
EndIf
rs.Close
conn.Close
EndSub
Faccio notare che in questo caso la query filtra solamente i valori in base al Nome, inoltre il parametro nome può essere passato in via opzionale, permettendo quindi anche di visualizzare tutti i campi se non c’è nessun nome da filtrare.
Ricordiamoci che per poter eseguire la connessione ADO abbiamo bisogno di importare l’opportuna libreria dai riferimenti.
A questo punto completiamo il nostro codice aggiungendo:
Visual Basic
1
2
3
4
5
6
7
8
9
10
11
PrivateSubtxtCerca_Change()
LoadSelect txtCerca.Text
EndSub
PrivateSubUserForm_Initialize()
LoadSelect
EndSub
In questo modo ad ogni modifica (change) di txtCerca, che è la textbox di ricerca in cima al form, verrà interrogato il nostro foglio per produrre un risultato.
Il medesimo metodo LoadSelect, questa volta senza argomenti, lo aggiungiamo anche all’avvio del form, per caricare il contenuto completo senza filtri.
Per gli esercizi dedicati a bash ne propongo uno rielaborato da me qualche mese fa per un corso.
Obiettivo: creare un semplice programma in bash che mostri un menu a schermo e ci permetta di fare delle scelte; in particolare mostrare un elenco di alunni e voti, aggiungere nomi di alunni e relativi voti, svuotare il “database” (in questo caso nient’altro che un file di testo) ed uscire dal programma
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
#!/bin/bash
#qui salviamo i dati
ELENCO="./alunni.dat"
show_menu(){
echo
echo
echo"-- Elenco studenti --"
echo"1. Mostra"
echo"2. Aggiungi"
echo"3. Svuota"
echo"q. ESCI"
echo-en"> "
}
do_menu(){
i=-1
while["$i"!="q"];do
show_menu
readi
i=`echo$i|tr'[A-Z]''[a-z]'`
case"$i"in
"1")
mostra
;;
"2")
aggiungi
;;
"3")
svuota
;;
"q")
echo"Addio, e grazie per tutto il pesce!"
exit0
;;
*)
echo"Uhm... non ho capito..."
;;
esac
done
}
mostra(){
#elenchiamo tutti gli elementi
grep-i""$ELENCO|whilereadi;do
echo"$i"|tr':''\t'
done
}
aggiungi(){
#aggiungi un elemento
echo"Ti chiederemo 2 dati:"
echo" - nome, voto"
echo
echo-en"Nome: "
read nome
echo-en"Voto: "
read voto
echo"${nome}:${voto}">>$ELENCO
}
conferma(){
echo-en"$@"
read risp
risp=`echo$risp|tr'[a-z]''[A-Z]'`
if["$risp"=="Y"];then
return0
else
return1
fi
}
svuota(){
conferma"Vuoi cancellare tutti gli studenti? (Y/N) "
if["$?"-eq"0"];then
echo-n"">$ELENCO
else
echo"CANCELLAZIONE ANNULLATA"
fi
}
do_menu
Nel nome delle funzioni non c’è niente di speciale, in particolare nelle funzioni showmenu e do_menu che ho chiamato così solo per abitudine, avendolo imparato a mia volta da script in inglese (potremmo dire anche scopiazzato!).
Commentiamo adesso i punti salienti del codice:
Riga 6: show_menu non fa niente di speciale, stampa semplicemente a video una serie di scritte usando echo (quando si usa echo senza una stringa a seguire si ottiene un semplice accapo); l’unico punto veramente interessante è alla riga 15 dove con echo -en ci prepariamo ad acquisire un valore in input. Questo valore in input in realtà viene acquisito dal read nella funzione successiva (riga 24).
Nel caso specifico echo -en vuol dire che passiamo alla funzione echo due parametri
-n evita di aggiungere newline alla fine della stringa, ovvero non manda accapo
-e interpreta eventuali backslash
Per capire meglio come funziona proviamo a scrivere nel terminale le seguenti righe
1
echo-en"\tmetti il nome"
Questo comando darà in output il seguente risultato
1
metti il tuo nome
Il cursore si troverà in attesa alla fine della stringa ed i caratteri \t saranno trasformati in tabulazione.
Se invece scriviamo:
1
echo-n"\tmetti il nome"
Verrà stampato a video:
1
\tmetti il tuo nome
Senza alcuna tabulazione.
Riga 22: cominciamo un ciclo while finché la variabile $i non sarà uguale a “q”.
Riga 24: leggiamo l’input dopo aver lanciato, alla riga precedente show_menu; l’input verrà letto nella variabile $i; dopo aver acquisito $i trasformiamo eventuali maiuscole in minuscole, in modo che sia premendo Q che q si possa uscire dal programma (questo non è ovviamente necessario, ma lo facciamo a titolo di esercizio).
A questo punto usiamo case per verificare la scelta in $i; in caso di qualsiasi scelta fuorché quelle elencate (riga 40) verrà mostrato un messaggio, qui scherzosamente sdubbiato.
Alla riga 36 invece, quando $i è uguale a “q” eseguiamo l’uscita dal programma con un saluto.
A questo punto costruiamo i metodi elencati dentro case.
Riga 48: il metodo mostra fa semplicemente il grep del contenuto del file e poi lo passa ad un ciclo while che legge ogni riga in $i. Il contenuto del file $ELENCO sarà scritto nel modo seguente:
Mario:10
Luigi:9
Anna:7
Ovvero un elenco di nomi separati da : dai voti; uno per riga. Quindi leggendo il file in righe sostituiamo ad ogni : una tabulazione in modo da stamparli a video uno sotto l’altro e con una tabulazione tra nome e voto.
Riga 55: creiamo il metodo per aggiungere nomi e voti; anche qui l’operazione è molto semplice e giochiamo un po’ con gli echo, per ottenere un’interfaccia da terminale decente. Alla riga 65 assembliamo i valori raccolti nelle precedenti due variabili in una singola stringa di testo che scriviamo sul file $ELENCO.
Riga 82: qui svuotiamo l’elenco degli studenti salvati in $ELENCO, semplicemente cancellando il contenuto dell’intero file. Notiamo qui l’uso diverso di >> e >. Il primo appende alla fine del file il contenuto, mentre > sostituisce l’intero contenuto. In questo caso lo sostituisce con una stringa vuota.
Riga 85: qui usiamo il comando $? per prendere l’output dell’ultimo metodo utilizzato, nel caso specifico il metodo conferma (riga 69). Il metodo conferma scrive a video una stringa presa da $@; la variabile $@ prende la lista di tutti gli argomenti passati al metodo, un po’ come fanno $0, $1 ecc per i singoli argomenti; in questo caso significa semplicemente che li prendiamo tutti. Il metodo legge la risposta e la trasforma tutta in maiuscole, in modo tale che Y e y equivalgano entrambi ad una conferma. Se la risposta è tale la funzione restituisce 0, altrimenti 1. Utilizzando $? controlliamo questo valore restituito e se fa 0 allora cancelliamo tutti i dati, se fa 1 annulliamo la cancellazione.
Presupposto: immaginiamo di avere una cartella sorgente di file e una cartella dove li abbiamo copiati, per esempio durante un backup o solo per sicurezza; a tale proposito rimando all’esercizio precedente di copia dei file in bash
Obiettivo: adesso vogliamo controllare che i file in destinazione siano identici ai file nella copia di sicurezza; un primo modo elementare potrebbe essere quello di confrontare la dimensione dei file, però questo non ci garantisce l’effettiva integrità e che nella medesima dimensione non ci siano in realtà contenuti differenti; un approccio migliore sarebbe quello di confrontare gli hash dei file di origine con quelli della copia. Attenzione però! Perché non dobbiamo solo confrontare i file esistenti, ma verificare anche la presenza di nuovi file o di file mancanti.
Vediamo quindi come scrivere questa procedura in BASH.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
#!/bin/bash
#impostazione cartelle
source="./elementi"
dest="./bck"
#contiamo anzitutto le cartelle di backup
#eseguiremo poi il controllo sull'ultimo backup
#confrontandolo con la cartella sorgente
tot=-1
forel in$dest*;do
if[-d"$el"]
then
tot=$((tot+1))
fi
done
#adesso controlliamo gli elementi
controllo(){
if[$tot-gt-1]
then
forel in$1/*;do
if[-d$el]
then
controllo$el
else
md5sum"$el"|(
whileread hash nomefile;do
if[-f"${nomefile/$source/$dest$tot}"]
then
md5sum"${nomefile/$source/$dest$tot}"|(
whileread hashbck nomefilebck;do
if[$hash!=$hashbck]
then
echo"$nomefile MODIFICATO"
fi
done
)
else
echo"${nomefile/$source/$dest$tot} NUOVO"
fi
done
)
fi
done
else
echo"nessuna cartella backup disponibile"
fi
}
controllo$source
Fino alla riga 17 abbiamo ripreso il codice del precedente esercizio, con un’unica differenza: abbiamo impostato la variabile tot su -1.
In questo modo nella parte successiva possiamo verificare se non esiste alcuna cartella di backup; se c’è una cartella è la cartella bck0, per via della costruzione dell’esercizio precedente, e quindi tot sarà uguale a 0.
Dopodiché costruiamo un metodo chiamato controllo che prende in ingresso un unico argomento (intercettato con $1 all’interno del codice) che è la cartella sorgente. Alla riga 52 passiamo la cartella sorgente iniziale, mentre alla riga 26 passiamo la cartella figlia che troviamo in quella di partenza, in modo da ripetere il controllo in modo ricorsivo.
Alla riga 24 controlliamo, tramite l’if, che l’elemento che stiamo controllando sia una cartella. Se lo è passiamo la cartella al metodo controllo, altrimenti verifichiamo i file.
Per verificare il file lanciamo md5sum sul file originale e leggiamo il risultato come due colonne: hash e nomefile.
Il ciclo while in realtà effettua un’unica operazione, per ogni valore controllato verifichiamo anzitutto se esiste o meno all’interno del backup. Se non esiste lanciamo in output il messaggio alla riga 41. Altrimenti lanciamo il comando md5sum sul file nel backup; con lo stesso principio di prima effettuiamo la lettura dell’output mettendo il risultato in altre due variabili, ovvero hashbck e nomefilebck. A questo punto confrontiamo che i due hash siano identici, in caso contrario (!= vuol dire diverso) lanciamo un output, quello della riga 36.
Notiamo che se va tutto bene non viene lanciato alcun output, ma solo in caso di errore.
TODO: In questo controllo manca la verifica che eventuali file presenti nel backup non siano stati cancellati dalla cartella sorgente.
Gestisci Consenso Cookie
Per fornire le migliori esperienze, utilizziamo tecnologie come i cookie per memorizzare e/o accedere alle informazioni del dispositivo. Il consenso a queste tecnologie ci permetterà di elaborare dati come il comportamento di navigazione o ID unici su questo sito. Non acconsentire o ritirare il consenso può influire negativamente su alcune caratteristiche e funzioni.
Funzionale
Sempre attivo
L'archiviazione tecnica o l'accesso sono strettamente necessari al fine legittimo di consentire l'uso di un servizio specifico esplicitamente richiesto dall'abbonato o dall'utente, o al solo scopo di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
Preferenze
L'archiviazione tecnica o l'accesso sono necessari per lo scopo legittimo di memorizzare le preferenze che non sono richieste dall'abbonato o dall'utente.
Statistiche
L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici.L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici anonimi. Senza un mandato di comparizione, una conformità volontaria da parte del vostro Fornitore di Servizi Internet, o ulteriori registrazioni da parte di terzi, le informazioni memorizzate o recuperate per questo scopo da sole non possono di solito essere utilizzate per l'identificazione.
Marketing
L'archiviazione tecnica o l'accesso sono necessari per creare profili di utenti per inviare pubblicità, o per tracciare l'utente su un sito web o su diversi siti web per scopi di marketing simili.
