Petar Karan

Usando la rotellina su Google Maps lo zoom è troppo veloce

Problema: scorrendo la rotellina su Google Maps per lo zoom, la mappa si rimpicciolisce o ingrandisce troppo rapidamente e senza possibilità di calibrare l’ingrandimento

Soluzione: probabilmente dipende dal software/driver del mouse, nel mio caso dal software Logitech Options (modello mouse M310)

Continua l’epopea del mouse con la rotellina che fa male.

Dopo aver scaricato Logitech Options mi accorgo che, su Google Maps, quando si utilizza la rotellina per ingrandire, la mappa letteralmente fugge via, ingrandendosi o rimpicciolendosi a dismisura.

Si passa da:

A qualcosa tipo:

E viceversa, con una sola rotazione del mouse.

Disinstallando il programma, che tra l’altro riceveva continui aggiornamenti, il tutto è tornato regolare.

Extreme Injector v3.7.3 (funzionante su Windows 10)

L’altro giorno cercavo di installare Cinematic Tools per Assassin’s Creed Unity, ma ho scoperto che nel download del sito ufficiale era incluso uno Extreme Injector non compatibile con Windows 10. Dopo un po’ di ricerca ho trovato la versione funzionante scaricabile dalla pagina ufficiale del forum MPGH.net.

Questa è l’interfaccia che dovrebbe apparire se va tutto bene.

HASH SHA256 del file (controllato con antivirus Kaspersky IS2017): 93DDA8B91586ACF53C70DFD3F512FCFF5793A9AF69E174D7E3AD67190361BCE8

Per farlo funzionare è necessario avere installato il Microsoft Visual C++.

In teoria basterebbe la versione 2017, ma per precauzione ho installato anche la 2015.

Scaricare Visual C++ Redistributable per Visual Studio 2015

Download ufficiale

Scaricare Microsoft Visual C++ Redistributable per Visual Studio 2017

https://www.visualstudio.com/it/downloads

Una volta entrati nella pagina scendere in fondo e cliccare su Altri strumenti e framework

Calcolare indirizzo IP e rete in PHP

In rete si trovano già numerosi calcolatori di indirizzi IP e rete, come per esempio questo oppure questo.

Prendendo spunto da essi ecco una classe in PHP per ottenere i medesimi risultati. Lo scopo principale in questo caso è utilizzare le operazioni binarie in PHP per calcolare i vari valori di ID Rete, Subnet mask, ecc.

<?php

class IPCalc {
	
	const NO_ERROR = 0;
	const IP_ERROR = 1;
	const NETMASK_ERROR = 2;
	
	private $ip = array(0,0,0,0);
	private $netmask = array(0,0,0,0);
	private $wildcard = array(0,0,0,0);
	private $netid = array(0,0,0,0);
	private $broadcast = array(0,0,0,0);
	private $hostmin = array(0,0,0,0);
	private $hostmax = array(0,0,0,0);
	private $nhosts = 0;
	private $nnetmask = 24;
	private $class = "";
	private $error = self::IP_ERROR;
	
	private $classes = array(
								//min	max		1st octet	network=1,hosts=0
		"A" 			=> array(1,		126,	0,			array(1,0,0,0)),
		"A localhost" 	=> array(127,	127,	0,			array(1,0,0,0)),
		"B" 			=> array(128,	191,	10,			array(1,1,0,0)),
		"C" 			=> array(192,	223,	110,		array(1,1,1,0)),
		"D" 			=> array(224,	239,	1110,		array()),
		"E" 			=> array(240,	254,	1111,		array())
	);
	
	function setIp($ip) {
		
		if( $this->checkValidIp( $ip ) ) {
			
			$tmp = explode(".",$ip);
			foreach( $tmp as $k => $v )
				$this->ip[$k] = ( $v );
		
			$this->error = self::NO_ERROR;
			
		}
		
	}
	
	function getError() {
		
		return $this->error;
		
	}
	
	function checkValidIp( $ip ) {
		
		return (filter_var($ip, FILTER_VALIDATE_IP) !== false);
		
	}
	
	function setNetwork( $ip ) {
		
		$tmp = explode("/",$ip);
		
		$this->setIp($tmp[0]);
		$this->setNetMask(count($tmp)>1?$tmp[1]:24);
		$this->setWildcard();
		$this->setNetId();
		$this->setBroadcast();
		$this->setHosts();
		$this->setClass();
		
	}
	
	function setNetMask( $mask = 24 ) {
		
		$this->nnetmask = (int)$mask;
		
		if( $mask < 1 || $mask > 32 ) $this->error = self::NETMASK_ERROR;
		
		for( $i = 0; $i < 32; $i++ ) {
			$this->netmask[floor($i/8)] += ( $i < $mask ? pow(2, 7-$i%8) : 0 );
		}
		//foreach( $this->netmask as $k => $v ) $this->netmask[$k] = ($v);
		
	}
	
	function setWildcard() {
		
		foreach( $this->netmask as $k => $v ) $this->wildcard[$k] = 255 ^ $v ;
		
	}
	
	function setNetId() {
		
		foreach( $this->netmask as $k => $v ) $this->netid[$k] = $this->ip[$k] & $v ;
		
	}
	
	function setBroadcast() {
		
		foreach( $this->wildcard as $k => $v ) $this->broadcast[$k] = $v | $this->ip[$k] ;
		
	}
	
	function setHosts() {
		
		$this->hostmin = $this->netid;
		$this->hostmin[3]++;
		
		$this->hostmax = $this->broadcast;
		$this->hostmax[3]--;
		
		$this->nhosts = pow(2,32-$this->nnetmask) - 2;
		
	}
	
	function setClass() {
		
		foreach( $this->classes as $c => $vals ) {
			if( $this->ip[0] >= $vals[0] && $this->ip[0] <= $vals[1] ) $this->class = $c;
		}
		
	}
	
	function getBinary($val) {
		
		$tmp = array();
		foreach( $val as $add ) {
			array_push( $tmp, str_pad( decbin($add) , 8, "0", STR_PAD_LEFT ) );
		}
		return implode(".",$tmp);
		
	}
	
	function getDecimal($val) {
		
		$tmp = array();
		foreach( $val as $add ) {
			array_push( $tmp, ($add) );
		}
		return implode(".",$tmp);
		
	}
	
	function getBinaryIp() {
		
		return $this->getBinary( $this->ip );
		
	}
	
	function getBinaryMask() {
		
		return $this->getBinary( $this->netmask );
		
	}
	
	function getBinaryWildcard() {
		
		return $this->getBinary( $this->wildcard );
		
	}
	
	function getBinaryNetID() {
		
		return $this->getBinary( $this->netid );
		
	}
	
	function getBinaryBroadcast() {
		
		return $this->getBinary( $this->broadcast );
		
	}
	
	function getBinaryHostMax() {
		
		return $this->getBinary( $this->hostmax );
		
	}
	
	function getBinaryHostMin() {
		
		return $this->getBinary( $this->hostmin );
		
	}
	
	function getIp() {
		
		return $this->getDecimal( $this->ip );
		
	}
	
	function getMask() {
		
		return $this->getDecimal( $this->netmask );
		
	}
	
	function getWildcard() {
		
		return $this->getDecimal( $this->wildcard );
		
	}
	
	function getNetID() {
		
		return $this->getDecimal( $this->netid );
		
	}
	
	function getBroadcast() {
		
		return $this->getDecimal( $this->broadcast );
		
	}
	
	function getHostMax() {
		
		return $this->getDecimal( $this->hostmax );
		
	}
	
	function getHostMin() {
		
		return $this->getDecimal( $this->hostmin );
		
	}
	
	function getNHosts() {
		
		return $this->nhosts;
		
	}
	
	function getNNetMask() {
		
		return $this->nnetmask;
		
	}
	
	function getClass($pos) {
		
		if( $pos == -1 ) return $this->class;
		else return $this->classes[$this->class][$pos];
		
	}
	
	
}


?>

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

<?php

class IPCalc {

const NO_ERROR = 0;

const IP_ERROR = 1;

const NETMASK_ERROR = 2;

private $ip = array(0,0,0,0);

private $netmask = array(0,0,0,0);

private $wildcard = array(0,0,0,0);

private $netid = array(0,0,0,0);

private $broadcast = array(0,0,0,0);

private $hostmin = array(0,0,0,0);

private $hostmax = array(0,0,0,0);

private $nhosts = 0;

private $nnetmask = 24;

private $class = "";

private $error = self::IP_ERROR;

private $classes = array(

//min max 1st octet network=1,hosts=0

"A" => array(1, 126, 0, array(1,0,0,0)),

"A localhost" => array(127, 127, 0, array(1,0,0,0)),

"B" => array(128, 191, 10, array(1,1,0,0)),

"C" => array(192, 223, 110, array(1,1,1,0)),

"D" => array(224, 239, 1110, array()),

"E" => array(240, 254, 1111, array())

);

function setIp($ip) {

if( $this->checkValidIp( $ip ) ) {

$tmp = explode(".",$ip);

foreach( $tmp as $k => $v )

$this->ip[$k] = ( $v );

$this->error = self::NO_ERROR;

}

function getError() {

return $this->error;

}

function checkValidIp( $ip ) {

return (filter_var($ip, FILTER_VALIDATE_IP) !== false);

}

function setNetwork( $ip ) {

$tmp = explode("/",$ip);

$this->setIp($tmp[0]);

$this->setNetMask(count($tmp)>1?$tmp[1]:24);

$this->setWildcard();

$this->setNetId();

$this->setBroadcast();

$this->setHosts();

$this->setClass();

}

function setNetMask( $mask = 24 ) {

$this->nnetmask = (int)$mask;

if( $mask < 1 || $mask > 32 ) $this->error = self::NETMASK_ERROR;

for( $i = 0; $i < 32; $i++ ) {

$this->netmask[floor($i/8)] += ( $i < $mask ? pow(2, 7-$i%8) : 0 );

}

//foreach( $this->netmask as $k => $v ) $this->netmask[$k] = ($v);

}

function setWildcard() {

foreach( $this->netmask as $k => $v ) $this->wildcard[$k] = 255 ^ $v ;

}

function setNetId() {

foreach( $this->netmask as $k => $v ) $this->netid[$k] = $this->ip[$k] & $v ;

}

function setBroadcast() {

foreach( $this->wildcard as $k => $v ) $this->broadcast[$k] = $v | $this->ip[$k] ;

}

function setHosts() {

$this->hostmin = $this->netid;

$this->hostmin[3]++;

$this->hostmax = $this->broadcast;

$this->hostmax[3]--;

$this->nhosts = pow(2,32-$this->nnetmask) - 2;

}

function setClass() {

foreach( $this->classes as $c => $vals ) {

if( $this->ip[0] >= $vals[0] && $this->ip[0] <= $vals[1] ) $this->class = $c;

}

function getBinary($val) {

$tmp = array();

foreach( $val as $add ) {

array_push( $tmp, str_pad( decbin($add) , 8, "0", STR_PAD_LEFT ) );

}

return implode(".",$tmp);

}

function getDecimal($val) {

$tmp = array();

foreach( $val as $add ) {

array_push( $tmp, ($add) );

}

return implode(".",$tmp);

}

function getBinaryIp() {

return $this->getBinary( $this->ip );

}

function getBinaryMask() {

return $this->getBinary( $this->netmask );

}

function getBinaryWildcard() {

return $this->getBinary( $this->wildcard );

}

function getBinaryNetID() {

return $this->getBinary( $this->netid );

}

function getBinaryBroadcast() {

return $this->getBinary( $this->broadcast );

}

function getBinaryHostMax() {

return $this->getBinary( $this->hostmax );

}

function getBinaryHostMin() {

return $this->getBinary( $this->hostmin );

}

function getIp() {

return $this->getDecimal( $this->ip );

}

function getMask() {

return $this->getDecimal( $this->netmask );

}

function getWildcard() {

return $this->getDecimal( $this->wildcard );

}

function getNetID() {

return $this->getDecimal( $this->netid );

}

function getBroadcast() {

return $this->getDecimal( $this->broadcast );

}

function getHostMax() {

return $this->getDecimal( $this->hostmax );

}

function getHostMin() {

return $this->getDecimal( $this->hostmin );

}

function getNHosts() {

return $this->nhosts;

}

function getNNetMask() {

return $this->nnetmask;

}

function getClass($pos) {

if( $pos == -1 ) return $this->class;

else return $this->classes[$this->class][$pos];

}

Ecco di seguito un esempio di utilizzo:

<?php

$ip = new IPCalc();
$ip->setNetwork( "192.168.0.1/25" );
echo $ip->getBinaryIp();
echo "<br>";
echo $ip->getIp();
echo "<br>";
echo $ip->getBinaryMask();
echo "<br>";
echo $ip->getMask();
echo "<br>";
echo $ip->getBinaryWildcard();
echo "<br>";
echo $ip->getWildcard();
echo "<br>";
echo $ip->getBinaryNetID();
echo "<br>";
echo $ip->getNetID();
echo "<br>";
echo $ip->getBinaryBroadcast();
echo "<br>";
echo $ip->getBroadcast();
echo "<br>";
echo $ip->getBinaryHostMax();
echo "<br>";
echo $ip->getHostMax();
echo "<br>";
echo $ip->getBinaryHostMin();
echo "<br>";
echo $ip->getHostMin();
echo "<br>";
echo $ip->getNHosts();

?>

<?php

$ip = new IPCalc();

$ip->setNetwork( "192.168.0.1/25" );

echo $ip->getBinaryIp();

echo " ";

echo $ip->getIp();

echo " ";

echo $ip->getBinaryMask();

echo " ";

echo $ip->getMask();

echo " ";

echo $ip->getBinaryWildcard();

echo " ";

echo $ip->getWildcard();

echo " ";

echo $ip->getBinaryNetID();

echo " ";

echo $ip->getNetID();

echo " ";

echo $ip->getBinaryBroadcast();

echo " ";

echo $ip->getBroadcast();

echo " ";

echo $ip->getBinaryHostMax();

echo " ";

echo $ip->getHostMax();

echo " ";

echo $ip->getBinaryHostMin();

echo " ";

echo $ip->getHostMin();

echo " ";

echo $ip->getNHosts();

Installare macOS 10.13 High con VirtualBox su Windows

Cercando un modo di installare il Mac su una macchina virtuale su Windows ho trovato questa fantastica guida online:

Steps to Install macOS 10.13 High Sierra on VirtualBox on Windows

Gli unici unici problemi che mi si sono presentati riguardavano la fase di avvio, quando la macchina virtuale partiva con schermo nero senza fare altro apparentemente.

Nel mio caso il problema è stato risolto modificando nella maniera seguente le impostazioni suggerite:

Versione: Mac OS X (64–bit) e non quelle suggerite in automatico

Chipset: PIIX3 (la dimensione della RAM invece è a piacere e non inficia il funzionamento della macchina, a parte la velocità ovviamente)

Cambiando questi due parametri la macchina virtuale si è avviata senza problemi.

Piccola curiosità:

Le istruzioni al passaggio 5 possono essere seguite da CMD oppure da PowerShell. Nel caso della PowerShell basta anteporre il i caratteri ./ all’eseguibile, ottenendo la seguente serie di comandi:

./VBoxManage.exe modifyvm “macOS 10.13 High Sierra” –cpuidset 00000001 000106e5 00100800 0098e3fd bfebfbff
./VBoxManage setextradata “macOS 10.13 High Sierra” “VBoxInternal/Devices/efi/0/Config/DmiSystemProduct” “iMac11,3”
./VBoxManage setextradata “macOS 10.13 High Sierra” “VBoxInternal/Devices/efi/0/Config/DmiSystemVersion” “1.0”
./VBoxManage setextradata “macOS 10.13 High Sierra” “VBoxInternal/Devices/efi/0/Config/DmiBoardProduct” “Iloveapple”
./VBoxManage setextradata “macOS 10.13 High Sierra” “VBoxInternal/Devices/smc/0/Config/DeviceKey” “ourhardworkbythesewordsguardedpleasedontsteal(c)AppleComputerInc”
./VBoxManage setextradata “macOS 10.13 High Sierra” “VBoxInternal/Devices/smc/0/Config/GetKeyFromRealSMC” 1

Queste istruzioni vanno a modificare un file macOS 10.13 High Sierra.vbox (dipende come avete chiamato la macchina) che si trova nella sua cartella in VirtualBox VMs.

Si tratta di un file XML dove appariranno istruzioni del tipo:

<ExtraData>
  <ExtraDataItem name="GUI/LastCloseAction" value="PowerOff"/>
  <ExtraDataItem name="GUI/LastNormalWindowPosition" value="615,88,1024,810"/>
  <ExtraDataItem name="VBoxInternal/Devices/efi/0/Config/DmiBoardProduct" value="Iloveapple"/>
  <ExtraDataItem name="VBoxInternal/Devices/efi/0/Config/DmiSystemProduct" value="iMac11,3"/>
  <ExtraDataItem name="VBoxInternal/Devices/efi/0/Config/DmiSystemVersion" value="1.0"/>
  <ExtraDataItem name="VBoxInternal/Devices/smc/0/Config/DeviceKey" value="ourhardworkbythesewordsguardedpleasedontsteal(c)AppleComputerInc"/>
  <ExtraDataItem name="VBoxInternal/Devices/smc/0/Config/GetKeyFromRealSMC" value="1"/>
</ExtraData>

</ExtraData>

Mixed Content: The page at ‘https://’ was loaded over HTTPS, but requested an insecure script ‘http://’

Soluzione: Se utilizzate WordPress potete utilizzare un plugin come Really Simple SSL, altrimenti assicuratevi che tutti gli indirizzi nella pagina incriminata siano del tipo HTTPS

Se il browser (in questo caso Chrome) vi segnala il seguente errore

Mixed Content: The page at 'https://' was loaded over HTTPS, but requested an insecure script 'http://'. This request has been blocked; the content must be served over HTTPS.

1	Mixed Content: The page at 'https://' was loaded over HTTPS, but requested an insecure script 'http://'. This request has been blocked; the content must be served over HTTPS.

Significa che la pagina che state visitando sta cercando di caricare del contenuto da una connessione non protetta (HTTP) su una connessione protetta (HTTPS). Il problema si risolve semplicemente cambiando il protocollo sugli indirizzi incriminati, oppure forzando un redirect completo della pagina su HTTPS.

Il terzo tasto del mouse smette di funzionare

Soluzione: cliccare velocemente tante volte sulla rotellina finché non si riprende

Eh sì, sembra una cosa quasi magica, lo so. Ma partiamo dall’inizio. Stamani ad un tratto mi rendo conto che la rotellina del mouse non permette più il click. Di conseguenza per chiudere le schede all’interno di Chrome bisogna andare sulla piccola X anziché poter cliccare con il cosiddetto terzo tasto (cliccare con la rotellina insomma). Uhm… Cosa potrà mai essere?

Il mouse è nuovo, comprato a luglio. Possibile che si sia già danneggiato? Magari potrebbe essere un problema di software.

Prima di ipotizzare il danno mi scarico il Logitech Options nella speranza che installi anche dei driver (comunque non lo fa) e permetta la gestione del mouse, o per lo meno una schermata dove si possa verificare se il famigerato click arriva o no al computer. Comunque niente, la situazione non cambia.

Che dipenda da un aggiornamento maledetto di Windows 10? Difficile a dirsi.

Indago in giro e trovo una soluzione di sostituzione di alcuni componenti sulla PCB del mouse.

In fondo all’articolo qualcuno suggerisce di gettare il mouse alcune volte contro il muro!

Dai non potrà funzionare! E invece sì, nessuna sostituzione, niente riparazioni, un semplice frenetico e squilibrato click sulla rotellina e tutto torna operativo come per magia.

Probabilmente dentro ci sarà qualcosa di spostato, ma se tanto mi dà tanto, per ora è tornato a funzionare.

Errore contenente l’URL “http://hubblecontent.osi.office.net/” quando si inserisce un’icona o un’immagine

Finalmente la Microsoft ha trovato una soluzione, anche se temporanea, al problema che si manifestava quando si cercavano di inserire delle Icone in PowerPoint.

In particolare quando si andava a cliccare qui

Compariva il seguente messaggio di errore:

La soluzione consiste nell’andare su Opzioni Internet (in Windows 10 basta cercare il nome nel menu)

E poi dalla scheda Avanzate trovare la voce Non salvare pagine crittografate su disco e togliere la spunta.

A quel punto il sistema di inserimento delle icone dovrebbe tornare a funzionare.

Si tratta di una soluzione provvisoria, così classificata dalla stessa Microsoft, in quanto altera quello che dovrebbe essere il normale funzionamento del sistema che appunto non dovrebbe salvare le pagine crittografate sul disco.

Fonte: qui l’articolo originale sul sito ufficiale di MS Office

Ubuntu: montare cartella di rete da dominio windows

Problema:

Avendo un Windows Server con cartelle in condivisione su dominio, montare un percorso condiviso di dominio su una cartella all’interno di Ubuntu avendo installato Samba.

Ammettiamo di avere:

192.168.2.2 come percorso del server/macchina sul quale si trova la condivisione di dominio
tuoutente come nome dell’utente all’interno di Ubuntu (UID e GID entrambi su 1001)
cartella_dominio il nome della cartella sul dominio che intendiamo montare all’interno della nostra partizione su linux

Soluzione:

sudo mount //192.168.2.2/cartella_dominio -t cifs -o uid=1001,gid=1001,username=tuoutente /home/tuoutente/cartella_dominio

1	sudo mount //192.168.2.2/cartella_dominio -t cifs -o uid=1001,gid=1001,username=tuoutente /home/tuoutente/cartella_dominio

Configurazione e sicurezza in Apache [per pinguini esordienti]

Abbiamo già visto come installare un Server LAMP al momento dell’installazione di Ubuntu. Vediamo adesso come configurarlo correttamente ed installare i nostri virtual host.

Prima di cominciare chiariamo che cosa sono i virtual host. Un webserver si suppone che possa offrire diversi siti web, ciascuno collegato ad uno specifico nome di dominio. Se abbiamo un singolo web server si potrà supporre che diversi nomi di dominio punteranno alla medesima macchina. Immaginiamo di avere il seguente server

ubuntu (192.168.56.1)

Il nostro server si trova all’indirizzo IP 192.168.56.1 (in questo caso di una LAN, ma per i nostri scopi questo è poco importante). Poi abbiamo tre domini:

miosito.com → 192.168.56.1

torregatti.com → 192.168.56.1

miosito.it → 192.168.56.1

Nel nostro esempio supponiamo che tutti e tre i domini puntino alla medesima macchina, ovvero chiedano alla medesima macchina di restituire dei risultati web per le loro richieste; supponiamo anche che il dominio miosito.com e miosito.it facciano capo allo stesso hosting, ovvero a quello che comunemente si chiama lo stesso sito, mentre torregatti.com fa capo ad un altro sito.

Detto questo vediamo come configurare il nostro server Apache.

Installare Apache se non lo abbiamo ancora fatto

Se ancora non abbiamo installato il server LAMP sarà sufficiente eseguire i seguenti comandi.

Per installare apache:

sudo apt-get install apache2

1	sudo apt-get install apache2

Per installare il server MySQL (qui ci verranno richiesti nome utente e password per l’utente root del database, che ricordiamoci non è l’utente root del server)

sudo apt-get install mysql-server

1	sudo apt-get install mysql-server

Installiamo il PHP. Ricordiamoci che il PHP ha diverse versioni, quella ancora più utilizzata, è la versione 5, anche se l’ultima versione disponibile è la 7.

sudo apt-get install php5 libapache2-mod-php5 php5-mcrypt php5-mysql
sudo mysql_install_db
sudo mysql_secure_installation
sudo apt-get install php5-cli

sudo apt-get install php5 libapache2-mod-php5 php5-mcrypt php5-mysql

sudo mysql_install_db

sudo mysql_secure_installation

sudo apt-get install php5-cli

A questo punto riavviamo il server Apache e verifichiamo che tutto funzioni aprendo il nostro localhost.

sudo service apache2 restart

1	sudo service apache2 restart

Configurazione Apache

Anzitutto prendiamo confidenza con la configurazione di apache. Digitiamo da terminale:

ls /etc/apache2/

1	ls /etc/apache2/

Verranno visualizzati i contenuti della cartella di configurazione di apache, che dovrebbero essere qualcosa di simile a questo:

Adesso apriamo il file apache2.conf:

sudo nano /etc/apache2/apache2.conf

1	sudo nano /etc/apache2/apache2.conf

Questo è il file principale di Apache, per ora lo possiamo scorrere un po’ per prendere confidenza con alcuni elementi chiave. Faccio notare i seguenti parametri:

Timeout 300 – è il tempo predefinito per cui il server manda in timeout richieste che non riesce a gestire
IncludeOptional mods-enabled/*.load – include nella configurazione presente tutti i file *.load dentro la cartella mods-enabled
IncludeOptional mods-enabled/*.conf – include nella configurazione presente tutti i file *.conf dentro la cartella mods-enabled
Include ports.conf – include il file chiamato ports.conf nel quale sono impostate le configurazioni predefinite delle porte
AccessFileName .htaccess – .htaccess è il nome del file delle configurazioni locali per ogni virtual host, il punto iniziale sta a significare che è un file nascosto di linux (i file nascosti, come succede anche sul Mac, sono preceduti da un punto)
IncludeOptional conf-enabled/*.conf – include nella configurazione presente tutti i file *.conf della cartella conf-enabled (idealmente qui si trovano tutte le configurazioni attive)
IncludeOptional sites-enabled/*.conf – include nella configurazione presente tutti i file *.conf della cartella sites-enabled

Facciamo caso anche ad alcune configurazioni di base:

<FilesMatch "^\.ht">
        Require all denied
</FilesMatch>

Require all denied

</FilesMatch>

Questo significa che per qualunque posizione tutti i file che cominciano con .ht sono proibiti a qualunque richiesta (richiesta da webserver).

<Directory />
        Options FollowSymLinks
        AllowOverride None
        Require all denied
</Directory>

<Directory /usr/share>
        AllowOverride None
        Require all granted
</Directory>

<Directory /var/www/>
        Options Indexes FollowSymLinks
        AllowOverride None
        Require all granted
</Directory>

Options FollowSymLinks

AllowOverride None

Require all denied

</Directory>

AllowOverride None

Require all granted

</Directory>

Options Indexes FollowSymLinks

AllowOverride None

Require all granted

</Directory>

Qui abbiamo la configurazione base del server. Notiamo che le cartelle /usr/share e /var/www sono accessibili a tutti. Sono preclusi tutti gli Override, questo significa che di predefinito non è possibile utilizzare le configurazioni dai file .htaccess per modificare la configurazione dei virtual host. Su questo torneremo tra poco. Inoltre notiamo che le opzioni attive su /var/www sono Indexes e FollowSymLinks.

Prima di proseguire facciamo un piccolo test, anche per prendere confidenza con il nostro server apache (ricordiamoci che il server si trova su 192.168.56.1). Da terminale digitiamo:

sudo mkdir /var/www/html/test
sudo chown www-data:www-data /var/www/html/test/

1 2	sudo mkdir /var/www/html/test sudo chown www-data:www-data /var/www/html/test/

In questo modo creiamo una cartella test dentro la cartella predefinita del nostro server apache e le assegniamo www-data come proprietario (e gruppo).

Adesso apriamo dal nostro browser l’indirizzo http://192.168.56.1/test/

Dovrebbe aprirsi qualcosa di simile a questo:

Quello che viene mostrato non ci fa molto piacere. Anzitutto è mostrato il dettaglio del contenuto della cartella test, in secondo luogo sono mostrati i dettagli del nostro server.

Sistemiamo subito entrambi i problemi.

sudo nano /etc/apache2/apache2.conf

1	sudo nano /etc/apache2/apache2.conf

Modifichiamo la configurazione predefinita di /var/www rimuovendo la voce Indexes

<Directory /var/www/>
        Options FollowSymLinks
        AllowOverride None
        Require all granted
</Directory>

Options FollowSymLinks

AllowOverride None

Require all granted

</Directory>

Riavviamo apache:

sudo service apache2 restart

1	sudo service apache2 restart

Aggiornando l’indirizzo di cui sopra otterremo questo:

Adesso sistemiamo l’intestazione del nostro server (Apache/2.4.18 (Ubuntu) Server at 192.168.56.1 Port 80). Questo perché in generale è una buona idea non mostrare la versione del proprio software, per rendere più difficile la vita a chi volesse approfittare di eventuali falle note per la nostra versione.

Anzitutto dobbiamo abilitare mod_headers su apache, per farlo digitiamo:

sudo a2enmod headers

1	sudo a2enmod headers

Dopodiché procediamo alla modifica del nostro file di configurazione della sicurezza:

sudo nano /etc/apache2/conf-available/security.conf

1	sudo nano /etc/apache2/conf-available/security.conf

Modifichiamo il file sistemando i seguenti attributi (si trovano su righe separate, se non ci sono basta aggiungerli in fondo):

ServerTokens Prod
ServerSignature Off
TraceEnable Off
Header unset ETag
Header always unset X-Powered-By
FileETag None

ServerTokens Prod

ServerSignature Off

TraceEnable Off

Header unset ETag

Header always unset X-Powered-By

FileETag None

Fatto questo riavviamo apache:

sudo service apache2 restart

1	sudo service apache2 restart

E torniamo a verificare il solito indirizzo di prima che apparirà come:

Come è possibile vedere adesso le intestazioni del server sono sparite (abbiamo anche pulito i header HTTP con cui risponde il server).

Aggiungiamo il nostro primo Virtual Host

Creiamo anzitutto una cartella sotto /var/www nella quale metteremo il nostro sito.

mkdir /var/www/miosito

1	mkdir /var/www/miosito

Il nome della cartella è a piacere, ho messo miosito solo per praticità visto che sarà anche il nome del dominio.

Assegniamo l’utente corretto alla cartella:

sudo chown -R www-data:www-data /var/www/miosito

1	sudo chown -R www-data:www-data /var/www/miosito

Adesso copiamo le configurazioni predefinite su quelle nuove per il nostro sito.

sudo cp /etc/apache2/sites-available/000-default.conf /etc/apache2/sites-available/miosito.conf

1	sudo cp /etc/apache2/sites-available/000-default.conf /etc/apache2/sites-available/miosito.conf

Notiamo che non c’è niente di speciale nel nome miosito.conf. E’ solo l’ennesimo file di configurazione che sarà incluso in quello principale di apache, il nome è del tutto indifferente ai fini del nostro dominio.

Adesso modifichiamo il file di configurazione appena creato (quello che scriveremo dentro lo trasformerà nel file di configurazione del sito che vogliamo registrare):

sudo nano /etc/apache2/sites-available/miosito.conf

1	sudo nano /etc/apache2/sites-available/miosito.conf

Dopo le nostre modifiche sarà sufficiente che contenga i seguenti dati (ricordiamoci che anche in questo caso il # sta a rappresentare il commento alle righe).

<VirtualHost *:80>
        ServerName miosito.com

        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/miosito

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

ServerName miosito.com

ServerAdmin webmaster@localhost

DocumentRoot /var/www/miosito

ErrorLog ${APACHE_LOG_DIR}/error.log

CustomLog ${APACHE_LOG_DIR}/access.log combined

</VirtualHost>

Adesso dobbiamo abilitare il sito creato, digitando (qui conta il nome del file che abbiamo dato prima):

sudo a2ensite miosito

1	sudo a2ensite miosito

Fatto tutto questo riavviamo apache.

sudo service apache2 restart

1	sudo service apache2 restart

A questo punto possiamo testare la nostra configurazione; nel mio caso, non disponendo di un server DNS e non avendo usato un dominio registrato, modificherò le impostazioni del file hosts del mio computer affinché il dominio miosito.com punti al server all’indirizzo 192.168.56.1.

Per farlo apro come amministratore il blocco note su Windows e vado a modificare il file in C:\Windows\System32\drivers\etc chiamato hosts. In fondo al file inserisco:

192.168.56.1 miosito.com

1	192.168.56.1 miosito.com

Salviamo il file hosts (ricordandoci di rimetterlo a posto dopo) e andiamo sul browser all’indirizzo http://miosito.com

Dovremmo vedere qualcosa come:

Per verificare che abbiamo fatto tutto bene modifichiamo il contenuto della cartella /var/www/miosito in modo che ci sia solo un file index.php con dentro il seguente contenuto:

<?php

echo "ciao da miosito.com";

?>

<?php

echo "ciao da miosito.com";

Per creare il file index.php è sufficiente digitare:

sudo nano /var/www/miosito/index.php

1	sudo nano /var/www/miosito/index.php

Se abbiamo fatto tutto bene aggiornando il suddetto indirizzo dovremmo vedere:

Adesso torniamo a modificare il nostro file hosts (questo ricordo lo facciamo solo per le nostre prove interne, non è assolutamente necessario durante la vera configurazione di un dominio, che è sufficiente che punti all’IP della nostra macchina su cui gira apache)

192.168.56.1 miosito.com
192.168.56.1 www.miosito.com
192.168.56.1 www.miosito.it
192.168.56.1 miosito.it

192.168.56.1 miosito.com

192.168.56.1 www.miosito.com

192.168.56.1 www.miosito.it

192.168.56.1 miosito.it

Aggiungendo le ultime tre righe alla prima già esistente, configuriamo l’accesso al nostro server anche per i sottodomini www ed il dominio miosito.it.

A questo punto verifichiamo dove punta http://www.miosito.com

Dovremmo vedere qualcosa di simile, con la risposta della pagina predefinita che si trova in /var/www/html. Quello che adesso vogliamo è che il server risponda con il sito nella cartella /var/www/miosito. Quindi torniamo alla configurazione del nostro sito digitando:

sudo nano /etc/apache2/sites-available/miosito.conf

1	sudo nano /etc/apache2/sites-available/miosito.conf

Modifichiamo il file aggiungendo la seguente riga:

<VirtualHost *:80>
        ServerName miosito.com
        ServerAlias www.miosito.com miosito.it www.miosito.it

        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/miosito

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

ServerName miosito.com

ServerAlias www.miosito.com miosito.it www.miosito.it

ServerAdmin webmaster@localhost

DocumentRoot /var/www/miosito

ErrorLog ${APACHE_LOG_DIR}/error.log

CustomLog ${APACHE_LOG_DIR}/access.log combined

</VirtualHost>

Con questo definiamo gli alias del dominio principale. Riavviamo apache.

sudo service apache2 restart

1	sudo service apache2 restart

A questo punto possiamo verificare che tutte e quattro i domini di prima puntano alla medesima cartella.

Qualora volessimo disabilitare miosito dalla nostra configurazione di apache sarà sufficiente digitare:

sudo a2dissite miosito

1	sudo a2dissite miosito

Per configurare il sito della torregatti.com ripetiamo la procedura precedente, creando una nuova cartella e configurando un nuovo file per il virtual host desiderato.

Installazione Ubuntu webserver pronto all’uso [per esordienti totali]

Esistono diverse edizioni di Linux chiamate distro (da distribuzione) ed una delle più popolari e maggiormente utilizzate (oltre che da me preferite) è Ubuntu, una distribuzione derivativa da quella di Debian.

Senza entrare in ulteriori dettagli vediamo quindi come realizzare un webserver pronto all’uso con Ubuntu.

Anzitutto dobbiamo scaricare il sistema operativo dal sito ufficiale.

Scegliete il meccanismo di download che più vi aggrada.

La versione che utilizzeremo sarà la 16.04.2 LTS.

Le versioni LTS (long-term support) offrono invece aggiornamenti per cinque anni: l’ideale per chi ha bisogno di maggiore stabilità.

Altri ingredienti necessari saranno:

VirtualBox (se non avete ancora una macchina fisica su cui installare il server)
putty per l’accesso in SSH al nostro server (sui vantaggi nell’usarlo torneremo successivamente)

Una volta tutto preparato usiamo l’ISO scaricata dal sito ufficiale per iniziare con l’installazione.

Anzitutto ci viene richiesta la lingua, possiamo selezionare l’italiano.

A questo punto selezioniamo “Installa Ubuntu Server”, altre funzioni sono molto utili ma non necessarie in questo momento.

Prima che l’installazione cominci, dal momento che abbiamo scelto l’italiano, veniamo avvisati che alcune parti potrebbero non essere tradotte, quindi saranno in inglese. Niente di importante o che possa compromettere il sistema. Scegliamo quindi di proseguire. Ricordo che ci si può muovere tra le impostazioni premendo la tabulazione (tasto TAB, quello sopra BLOC MAIUSC con le frecce in opposizione), quando scegliamo l’opzione desiderata premiamo INVIO.

Confermiamo il paese come Italia.

Scegliamo di NON determinare automaticamente la tastiera, in genere non è necessario se lavoriamo con una tastiera standard.

A questo punto ci viene richiesta la disposizione della tastiera e lasciamo ancora una volta Italian.

Selezioniamo la prima scelta, nella maggior parte dei casi andrà bene. Se siamo a conoscenza del modello esatto della tastiera, se lavoriamo per esempio con la tastiera di un Mac, scegliamo la voce opportuna.

A questo punto ci viene chiesto di dare un nome al nostro computer, detto nome host, per esempio lo possiamo chiamare ubuntu.

A questo punto ci viene chiesto il nome completo dell’utente, potrei mettere Petar Karan, ma per semplificarmi la vita metto semplicemente petar.

Ora ci viene chiesto il nome dell’account, qui è importante scegliere bene perché sarà anche il nome di login e necessario per altre operazioni dopo, quindi conviene che sia pratico da digitare. In teoria sarebbe opportuno che fosse composto di sole minuscole e caratteri alfanumerici senza spazi.

Inseriamo adesso una password per il nostro account. Qui vi ricordo che l’account root resterà disabilitato di default e con l’utente di sopra e questa password, utilizzando sudo, potremo eseguire le operazioni con privilegi di amministratore. La password dovrebbe essere complessa nel caso che il server sia messo in rete.

Adesso ci viene chiesto se vogliamo cifrare la nostra cartella dell’utente; se non abbiamo timore di perdere il disco o che questo possa essere rubato, non è necessario cifrare la cartella, perché questo appesantirebbe le operazioni successive sui file della medesima (anche se non in modo significativo).

Ci viene chiesto di configurare l’orario del nostro computer, per noi in Italia la zona corretta è Europe/Rome; se va bene possiamo proseguire.

Adesso è il momento di partizionare il disco. Scegliamo di farlo con LVM, il che ci permetterà ulteriori operazioni e modifiche dopo, ma non entriamo nel merito adesso. Diciamo che se intendiamo ingrandire lo spazio sul nostro server e poter gestire agilmente il backup, LVM è quello che fa per noi.

A questo punto scegliamo il disco su cui effettuare l’installazione e da partizionare. Il disco stesso sarà ovviamente formattato. Nel mio caso sto lavorando su una macchina virtuale con un disco da 50GB. Faccio notare che 50GB secondo lo standard tradizionale equivalgono a 53.687.091.200 byte che qui vengono mostrati secondo lo standard scientifico, quindi 53,7 GB.

Adesso ci viene chiesto se intendiamo procedere. Diciamo pure di sì.

Ci viene chiesto di confermare la quantità di memoria da dedicare al gruppo di volumi (LVM). Per adesso su fiducia possiamo dire di selezionare tutto.

Ultima conferma per procedere. Faccio notare che sono stati creati due gruppi di volumi uno per la partizione root e uno per lo swap di sistema (per chi ha familiarità con Windows si tratta di uno spazio sul disco che viene usato per la memoria virtuale del sistema, così come succede su Windows con la memoria fisica – la RAM – e i file di paging)

Adesso ci viene chiesto di configurare, laddove fosse necessario, un server proxy. Nel mio caso, non avendo la rete dietro a proxy, posso saltare la configurazione.

Ci viene chiesto se vogliamo o meno effettuare aggiornamenti automatici. Per quanto siano importanti è bene che li gestiamo noi di persona, verificando via via se sia opportuno o meno aggiornare il server, specialmente se sarà un webserver con servizi offerti a utenti terzi. Qualche aggiornamento potrebbe non andare come ci aspettavamo e potremmo doverlo correggere seduta stante, quindi è meglio gestirli manualmente.

Ora è il momento di selezionare quali software vogliamo aggiungere alla nostra installazione. ATTENZIONE! La selezione viene effettuata premendo il tasto SPAZIO (la barra spaziatrice) e muovendoci con la tabulazione (TAB). Se si preme INVIO l’installazione prosegue con le voci selezionate. Prima di premere invio dovete avere le voci con gli asterischi come nel mio esempio.

In particolare vogliamo installare subito il server LAMP (Linux + Apache + MySQL + PHP) che sarà il nostro classico webserver e il server SSH. Li potremmo installare anche successivamente, ma perché perdere tempo se si può fare subito?

Dal momento che abbiamo deciso per l’installazione del server LAMP ci viene chiesto di configurare la password di root (non è l’utente root di sistema) per il nostro database MySQL. Anche se non sapete ancora di cosa si tratti esattamente, sappiate che serve per avere un webserver LAMP standard e quindi dategli una buona password.

Confermiamo la password.

Infine ci viene chiesto se vogliamo installare il boot loader GRUB. Nel caso in cui il server venga installato ex-novo su una macchina vergine, allora possiamo dire di sì. Questo installerà il boot loader personalizzato che offrirà diverse possibilità di avvio e configurazione dopo.

Quando è tutto completato estraiamo il disco dell’installazione (o rimuoviamo la ISO che abbiamo caricato nella macchina virtuale).

Fatto questo il sistema si riavvierà portandoci alla schermata di accesso.

Per accedere è sufficiente digitare il nome del nostro utente (per me petar) e la password che abbiamo scelto.

Fatto questo abbiamo terminato la prima parte dell’installazione. Adesso il nostro server Ubuntu è pronto e operativo.

Se stiamo utilizzando VirtualBox possiamo cominciare ad inoltrare le prime porte (qualora lo utilizziamo in modalità NAT) verso il nostro server.

Se lavoriamo da Windows possiamo aprire il Prompt dei comandi ed effettuare un ipconfig per trovare l’indirizzo della scheda di rete di VirtualBox. Nel mio caso il risultato è questo (è questo nella maggior parte dei casi standard).

Questo significa che l’IP su cui vedo la rete di VirtualBox è l’indirizzo 192.168.56.1

Per modificare l’inoltro delle porte sulla macchina virtuale è sufficiente andare nelle impostazioni della macchina e poi su Avanzate selezionare “Inoltro delle porte“.

Si aprirà una schermata vuota (se è la prima volta che la usiamo) nella quale dovremo mettere i seguenti dati.

Per aggiungere nuove regole è sufficiente cliccare sul tasto col più verde (freccia rossa). La macchina host è la nostra che vedrà l’IP all’indirizzo suddetto; la macchina guest è la nostra macchina virtuale. Tipicamente, nella configurazione NAT, viene assegnato l’IP 10.0.2.15; per verificarlo è sufficiente utilizzare ifconfig all’interno di Ubuntu nel modo seguente.

Faccio notare che il comando è ifconfig anziché ipconfig come su Windows. Quello che si richiede è la configurazione dell’interfaccia. Ci vengono mostrate due interfacce, enp0s3 (in una configurazione su macchina fisica qui potremmo vedere eht0) e l’interfaccia lo (elle-o, che sta per local), ovvero l’interfaccia degli indirizzi interni alla macchina. Notiamo infatti che sull’interfaccia enp0s3 abbiamo configurato l’indirizzo 10.0.2.15 (che è quello esterno della macchina sulla rete), e sull’interfaccia lo abbiamo configurato 127.0.0.1 che è il nostro localhost.

Fatte tutte queste belle cose, e con la macchina attiva ovviamente, possiamo aprire il browser sulla macchina host (per esempio sul nostro computer Windows) oppure sul computer dal quale ci vogliamo collegare al server con Ubuntu, e digitare nel browser l’indirizzo http://192.168.56.1

Se tutto è andato bene dovremmo vedere una schermata simile a questo. Questo significa che il nostro server web è attivo e pronto all’uso.

Adesso controlliamo che funzioni anche il server SSH. Per farlo ci sarà sufficiente scaricare putty e avviarlo nel modo seguente:

Come potete vedere è sufficiente digitare l’indirizzo del nostro server (tenendo sempre a mente l’inoltro delle porte fatto prima) e cliccare su Open.

Ci verrà chiesto di acquisire la chiave per la crittografia, gli diciamo di sì.

Ci verrà mostrata la solita schermata di accesso ad Ubuntu dove digitare nome utente e password, come abbiamo fatto al primo accesso.

Il motivo per cui preferisco utilizzare putty anche in una configurazione con la macchina virtuale è la possibilità di copiare ed incollare agilmente i comandi che mi interessano sopra. Infatti per copiare da putty è sufficiente selezionare del testo (qualunque testo selezionato verrà automaticamente copiato). Per incollare è sufficiente cliccare col tasto destro del mouse. Vi consiglio di fare un po’ di pratica prima di cominciare a lavorarci, copiando ed incollando dei comandi elementari per non rischiare di fare pasticci dopo.

Fatto questo passiamo alla configurazione del firewall di Linux.

Firewall su Ubuntu

A prima vista potrebbe sembrare difficile, ma in realtà è tutto semplicissimo.

Anzitutto digitiamo nel terminale il seguente comando:

sudo iptables -L -v | grep Chain

1	sudo iptables -L -v \| grep Chain

Siccome è una guida per esordienti totali faccio notare alcune caratteristiche:

sudo server ad eseguire i comandi come SuperUser, significa letteralmente SuperUser do
iptables è il firewall predefinito all’interno di Linux, nello specifico in Ubuntu
-L e -v sono due opzioni per iptables, usando i comandi da terminale possiamo passare ad ogni comando delle opzioni aggiuntive per modificarne il funzionamento, in particolare -L visualizza la lista delle impostazioni e -v lo fa in modo “verbose“, ovvero fornendo numerosi dettagli, per maggiori approfondimenti sui parametri che possiamo passare ad iptables possiamo utilizzare man iptables (man è il manuale interno di Ubuntu)
| questo è un comando di bash che ci permette di effettuare un’operazione successiva sull’output precedente
grep Chain è il comando con il quale “catturiamo” le righe dell’output contenenti la voce Chain che verrà evidenziata

L’output del comando precedente dovrebbe mostrarci qualcosa come:

Prima di proseguire sarà bene chiarire come funziona il firewall dentro Linux. Partiamo con uno schema:

Questo grafico l’ho scopiazzato da qui, dove troverete anche una guida approfondita sul firewall in generale

Come si vede nell’immagine di sopra abbiamo 3 canali principali (detti catene); INPUT, OUTPUT e FORWARD. Il loro scopo potrebbe essere descritto in questo modo:

INPUT traffico in entrata, per esempio collegarsi da fuori verso il PC in SSH oppure interrogare il server web in HTTP
FORWARD traffico reindirizzato, si usa solo nel caso in cui il PC effettui operazioni di routing
OUTPUT connessioni in uscita, per esempio operazioni di ping

Sostanzialmente quello che ci interessa controllare, in un primo momento (senza entrare in configurazioni e monitoraggi più complessi ed articolati) sono le catene in INPUT e FORWARD. Il controllo viene eseguito mediante 3 criteri di “catena”, la chain di cui si parlava prima, ovvero dei criteri che stabiliscono se nel flusso dei dati determinati pacchetti debbano o meno proseguire. I criteri sono i seguenti:

ACCEPT permette
DROP blocca come se non esistesse
REJECT blocca inviando un errore

Se vi sembra tutto complicato aspettate un secondo e vedrete che in realtà è semplicissimo.

Anzitutto chiudiamo tutte le catene in INPUT e FORWARD. Utilizziamo i seguenti due comandi (ATTENZIONE! prima di eseguirli leggere quanto segue):

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP

1 2	sudo iptables -P INPUT DROP sudo iptables -P FORWARD DROP

Faccio notare che:

-P cambia i criteri della catena
-A aggiunge criterio alla catena esistente

Quando utilizziamo -P significa che vogliamo reimpostare l’intera catena degli INPUT (per esempio), cancellando quindi tutte le impostazioni precedenti. Con il comando -A invece possiamo aggiungere dei criteri.

Se li eseguissimo questi bloccherebbero tutte le connessioni in entrata compresa quella SSH di cui abbiamo bisogno per gestire il sistema, quindi dobbiamo aggiungere un secondo commando nello specifico:

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

1	sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Questo aprirà le connessioni in INPUT.

Se aveste inavvertitamente bloccato tutto (a parte poter lavorare tranquillamente da dentro la macchina) sarà sufficiente eseguire i seguenti comandi per riattivare tutte le porte.

sudo iptables -F
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT

sudo iptables -F

sudo iptables -P INPUT ACCEPT

sudo iptables -P FORWARD ACCEPT

Sarà comunque sufficiente riavviare la macchina, nel caso estremo di inaccessibilità, per ripristinare tutto (e questo ci porta dopo al vedere come salvare le impostazioni).

Comunque sia per effettuare la suddetta chiusura e lasciare aperta solo la porta 22 sarà sufficiente eseguire il seguente comando:

sudo iptables -P INPUT DROP && sudo iptables -P FORWARD DROP && sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

1	sudo iptables -P INPUT DROP && sudo iptables -P FORWARD DROP && sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Faccio notare l’utilizzo di && che serve a concatenare i comandi tra di loro, per cui se ho due comandi A e B e digito A && B, B viene eseguito solo se A ha successo. In questo modo collego tutti e tre i comandi e li eseguo di fila, bloccando tutto e aprendo immediatamente la connessione sulla porta 22. Questo mi consente di continuare ad accedere tranquillamente da putty.

Adesso sblocchiamo gli INPUT sulla scheda interna (ricordate la lo di prima?) digitando:

sudo iptables -A INPUT -i lo -j ACCEPT

1	sudo iptables -A INPUT -i lo -j ACCEPT

Inoltre sblocchiamo le connessioni in entrata generate da richieste interne (ok, anche qui potremmo avere dei problemi di sicurezza nel caso di malaware interni alla macchina, ma per il momento possiamo supporre di avere un sistema pulito e non preoccuparcene):

sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

1	sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Adesso apriamo le porte per l’HTTP e l’HTTPS, rispettivamente le porte 80 e 443 (a meno di non aver cambiato qualcosa):

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

1 2	sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Fatto questo verifichiamo che sia tutto in regola digitando:

sudo iptables -L -v

1	sudo iptables -L -v

Dovremmo vedere un output simile a questo:

Faccio notare che non abbiamo aperto porte per l’FTP (ma è meglio che resti chiuso), né per IMAP, POP3 o SMTP. Via via che avremo bisogno di tali servizi potremo aprire le specifiche porte.

A questo punto è il momento di salvare la configurazione in modo permanente (ricordate che al riavvio va riconfigurato tutto?), perciò digitiamo:

sudo apt-get install iptables-persistent

1	sudo apt-get install iptables-persistent

Questo installerà iptables-persistent (vi ricordo che con apt-get possiamo gestire i pacchetti di installazione Debian/Ubuntu e con il parametro install installarli)

Vi verrà chiesto di confermare l’installazione con un S e poi comparirà una schermata (tipicamente fucsia) dove vi verrà chiesto se salvare la configurazione attuale.

In generale per salvare la configurazione (da Ubuntu 16.04 in poi) è sufficiente utilizzare i seguenti comandi, una volta installato il servizio:

sudo netfilter-persistent save

1	sudo netfilter-persistent save

Adesso riavviamo tutto il sistema per verificare di aver configurato tutto correttamente. E’ sufficiente digitare:

sudo reboot now

1	sudo reboot now

Digitando nuovamente:

sudo iptables -L -v

1	sudo iptables -L -v

Verifichiamo che sia tutto al proprio posto. Se è così il firewall è configurato e perfettamente funzionante.

Se volessimo adesso escludere un indirizzo IP bloccandolo ci sarebbe sufficiente digitare:

sudo iptables -A INPUT -s 15.15.15.51 -j DROP

1	sudo iptables -A INPUT -s 15.15.15.51 -j DROP

Dove l’indirizzo 15.15.15.51 è quello ipotetico che vogliamo bloccare. Ad ogni modifica del firewall ricordiamoci di salvare il tutto.

Fail2Ban per bannare i tentativi di accesso illeciti

Siccome abbiamo aperto il server sul SSH la nostra prima preoccupazione dovrebbe essere quella di bloccare tutti gli accessi indesiderati, in particolare di bloccare i tentativi di accesso malevoli. Per farlo su Ubuntu esiste un fantastico programma chiamato Fail2Ban.

Anzitutto installiamo fail2ban digitando:

sudo apt-get install fail2ban

1	sudo apt-get install fail2ban

Una volta installato modifichiamo la configurazione principale digitando:

cd /etc/fail2ban
sudo cp jail.conf jail.local

1 2	cd /etc/fail2ban sudo cp jail.conf jail.local

Visto che siamo degli esordienti totali approfondiamo un paio di cose:

cd serve a cambiare cartella, letteralmente change directory, e ci fa posizionare in /etc/fail2ban, ricordiamoci che nella cartella /etc di solito si trovano i file di configurazione dei programmi
cp serve a copiare il file jail.conf in jail.local, in questo modo non intaccheremo la configurazione originale di fail2ban e potremo sempre ripristinarla semplicemente cancellando il file appena creato e ricreandolo nella suddetta maniera

Fatto questo digitiamo:

sudo nano jail.local

1	sudo nano jail.local

nano è un editor da terminale di Ubuntu, le opzioni che appaiono come ^O oppure ^X sono eseguibili premendo CTRL+O oppure CTRL+X. Queste due in particolare servono a salvare le modifiche apportate e ad uscire dall’editor.

Per muoverci dentro il file utilizziamo le frecce direzionali e spostiamoci verso il basso fino ad individuare le voci che vogliamo modificare. I # servono come commenti, quindi rendono nulle le righe di codice che precedono. Quello che vedremo sarà qualcosa di simile a questo:

Modifichiamo le seguenti voci (cercandole scendendo verso il basso):

bantime  = 3600
maxretry = 3

1 2	bantime = 3600 maxretry = 3

Questo imposterà il tempo di ban su 1 ora, ovvero 60*60 secondi e il numero massimo di tentativi sbagliati prima di essere bannati sarà 3.

Il parametro findtime determina invece la finestra temporale per gli errori, impostato a 600 significa che si possono fare 3 errori consecutivi, prima di essere bannati, nell’arco di 10 minuti.

Scendiamo ancora in basso e cerchiamo la jail del SSH che si presenterà così:

#
# SSH servers
#

[sshd]

port    = ssh
logpath = %(sshd_log)s

# SSH servers

[sshd]

port = ssh

logpath = %(sshd_log)s

Lo modifichiamo per farlo diventare così:

#
# SSH servers
#

[sshd]

port    = ssh
enabled = true
filter  = sshd
maxretry = 3
logpath = /var/log/auth.log

# SSH servers

[sshd]

port = ssh

enabled = true

filter = sshd

maxretry = 3

logpath = /var/log/auth.log

Premiamo CTRL+O per salvare il file.

Faccio notare che abbiamo cambiato il percorso dei file log in modo tale che legga quello giusto.

A questo punto riavviamo il servizio fail2ban (per ricaricare le impostazioni), digitando:

sudo /etc/init.d/fail2ban restart

1	sudo /etc/init.d/fail2ban restart

Ci dovrebbe rispondere nel modo seguente:

[ ok ] Restarting fail2ban (via systemctl): fail2ban.service.

1	[ ok ] Restarting fail2ban (via systemctl): fail2ban.service.

In caso di errore significa che abbiamo sbagliato a scrivere qualcosa nel file di configurazione.

Per visualizzare gli IP bannati ci sarà sufficiente usare di nuovo iptables.

sudo iptables -L -v

1	sudo iptables -L -v

Mentre per rimuovere un indirizzo IP dalla lista di quelli bloccati sarà sufficiente digitare:

sudo fail2ban-client set sshd unbanip 10.0.2.2

1	sudo fail2ban-client set sshd unbanip 10.0.2.2

In questo caso la jail dalla quale lo vogliamo sbannare è quella del sshd (la d finale sta per daemon, praticamente un servizio di linux) e sbanniamo l’indirizzo ip 10.0.2.2 che è quello da cui la mia macchia virtuale vede connettersi il sottoscritto.

Adesso passiamo ad installare Webmin, la manna dal cielo per chiunque debba gestire un webserver da remoto.

Installazione Webmin

Anzitutto aggiungiamo la repository di Webmin all’elenco delle sorgenti di installazione per il nostro server. Per farlo modifichiamo il file delle repository digitando:

sudo nano /etc/apt/sources.list

1	sudo nano /etc/apt/sources.list

Aggiungiamo in fondo la seguente riga (con CTRL+V ci spostiamo velocemente verso il basso)

deb http://download.webmin.com/download/repository sarge contrib

1	deb http://download.webmin.com/download/repository sarge contrib

Premiamo CTRL+X per salvare il tutto.

Adesso posizioniamoci nella nostra home (in realtà dovremmo già esserci), qualora non lo fossimo digitiamo:

cd /home/petar/

1	cd /home/petar/

Chiaramente al posto di petar ci va il vostro nome utente.

Scarichiamo la chiave della repository aggiunta in modo da installarla nel sistema, affinché la riconosca come attendibile.

wget http://www.webmin.com/jcameron-key.asc

1	wget http://www.webmin.com/jcameron-key.asc

wget è il comando che permette di scaricare da internet il contenuto di un link e salvare nel computer. In questo caso scaricherà il file dall’indirizzo dato e lo salverà tale e quale nella nostra cartella home.

Appena finito il download digitiamo:

sudo apt-key add jcameron-key.asc

1	sudo apt-key add jcameron-key.asc

In questo modo registriamo la chiave che ci interessa. Nel terminale dovrebbe comparire un OK di conferma.

A questo punto aggiorniamo la nostra repository interna digitando:

sudo apt-get update

1	sudo apt-get update

Appena il processo sarà finito possiamo passare all’installazione di webmin.

Per farlo sarà sufficiente digitare (e poi confermare con un S come al solito):

sudo apt-get install webmin

1	sudo apt-get install webmin

Se tutto è andato come dovrebbe allora vi comparirà un messaggio come il seguente:

Webmin install complete. You can now login to https://ubuntu:10000/
as root with your root password, or as any user who can use sudo
to run commands as root.
Elaborazione dei trigger per systemd (229-4ubuntu16)...
Elaborazione dei trigger per ureadahead (0.100.0-19)...

Webmin install complete. You can now login to https://ubuntu:10000/

as root with your root password, or as any user who can use sudo

to run commands as root.

Elaborazione dei trigger per systemd (229-4ubuntu16)...

Elaborazione dei trigger per ureadahead (0.100.0-19)...

Questo significa che possiamo raggiungere webmin alla porta 10.000. Ovvero digitando (nel mio caso, per via della configurazione precedente) https://192.168.56.1:10000

Naturalmente l’indirizzo risulterà irraggiungibile perché va aperta la porta 10.000 sul firewall, per farlo sarà sufficiente digitare:

sudo iptables -A INPUT -p tcp --dport 10000 -j ACCEPT
sudo netfilter-persistent save

1 2	sudo iptables -A INPUT -p tcp --dport 10000 -j ACCEPT sudo netfilter-persistent save

Ricordiamoci anche di effettuare l’inoltro (qualora usassimo la macchina virtuale) da virtualbox.

Se abbiamo fatto tutto bene dovremmo poter accedere a Webmin in questo modo.

Vi faccio notare che non abbiamo un certificato valido, quindi il browser potrebbe segnalarci la connessione in HTTPS come non sicura. Inoltre, nonostante si siano aperte le porte per l’HTTPS standard, bisogna aprire anche quella di webmin, perché quello standard va sulla 443, mentre webmin (di predefinito) sulla porta 10.000.

Possiamo effettuare il login con i nostri nome utente e password accedendo alla seguente schermata.

Da qui possiamo gestire buona parte delle impostazioni del nostro server, oltre che controllarne sempre lo stato.

E per concludere ultima modifica di sicurezza. Abilitiamo webmin solo verso il nostro indirizzo IP.

Per farlo è sufficiente modificare il file di configurazione, usando sempre il terminale. Digitiamo:

sudo nano /etc/webmin/miniserv.conf

1	sudo nano /etc/webmin/miniserv.conf

Così apriamo il file di configurazione di webmin.

Subito sotto la riga della porta aggiungiamo una linea dove mettiamo il nostro indirizzo IP (nel mio caso 10.0.2.2, quello da cui mi vede la macchina virtuale)

port=10000
allow=10.0.2.2
root=/usr/share/webmin
mimetypes=/usr/share/webmin/mime.types
addtype_cgi=internal/cgi

port=10000

allow=10.0.2.2

root=/usr/share/webmin

mimetypes=/usr/share/webmin/mime.types

addtype_cgi=internal/cgi

In questo modo l’accesso sarà consentito solamente dal mio indirizzo. Questo è molto pratico quando avete un indirizzo IP statico, ma anche se non lo aveste potete sempre accedere prima in SSH e abilitare il vostro indirizzo corrente. In questo modo tenete webmin al sicuro e lontano da tentativi di hacking (più o meno, ma non è il momento per approfondire).

Perché la configurazione abbia successo è necessario riavviare webmin digitando:

sudo service webmin restart

1	sudo service webmin restart

Quest’ultima operazione è fattibile anche da dentro a Webmin, seguendo le seguenti istruzioni.

Testiamo il PHP

Infine testiamo il nostro webserver creando una semplice pagina PHP.

Anzitutto spostiamoci nella cartella di apache, digitando:

cd /var/www/html

1	cd /var/www/html

Utilizzando il comando ls vedremo che qui c’è un unico file chiamato index.html, che è quello che abbiamo visto in precedenza quando abbiamo avviato apache.

Cancelliamolo e creiamo un nuovo file index.php

sudo rm index.html
sudo nano index.php

1 2	sudo rm index.html sudo nano index.php

Si aprirà l’editor nano, dentro incolliamo il seguente codice:

<?php

echo "<h1>Ciao, Mondo!</h1>";

?>

<?php

echo "<h1>Ciao, Mondo!</h1>";

Ancora una volta CTRL+O per salvare (e quindi creare) il file, CTRL+X per uscire.

ATTENZIONE! Abbiamo creato il file come root, infatti digitando ls -l dovreste vedere qualcosa di simile a

-rw-r--r-- 1 root root 41 ago 12 22:34 index.php

1	-rw-r--r-- 1 root root 41 ago 12 22:34 index.php

Per essere un file eseguibile correttamente da apache, e soprattutto per non avere problemi di sicurezza, il file deve essere impostato su www-data, quindi usiamo il comando chown per cambiare proprietario (letteralmente change owner)

sudo chown www-data:www-data index.php

1	sudo chown www-data:www-data index.php

Fatto tutto questo visitiamo nuovamente http://192.168.56.1/

Se tutto è andato per il verso giusto dovremmo vedere una simpatica scritta che dichiara a caratteri cubitali: Ciao, Mondo!

Ultima revisione: 19 febbraio 2018