[linux] Aggiungere file manualmente ad una condivisione su ownCloud (sotto Plesk)

Obiettivo: aggiungere un file manualmente nella partizione utente su ownCloud, senza utilizzare l’interfaccia di gestione

Questa è una soluzione molto interessante qualora si preferisca caricare il file, per svariati motivi, con altri meccanismi, diversi dall’interfaccia utente offerta dalla piattaforma ownCloud. Per esempio avevo bisogno di condividere un file zip di 600MB che però prima andava modificato. In tal caso, scaricarlo sul mio computer e caricarlo di nuovo online, con la connessione a 20 Mega, rischiava di risultare eccessivamente lento e macchinoso, quando potevo invece scaricarlo direttamente sul server e modificarlo da terminale.

Come fare allora per metterlo in condivisione?

L’operazione è semplice: anzitutto dobbiamo collocarci nella partizione dati di ownCloud e trovare la cartella, sotto files, dell’utente al quale vogliamo mettere a disposizione il file.

Una volta nella cartella digitiamo:

In questo modo visualizzeremo il dettaglio dei permessi sui file. Annotiamo utente e gruppo che accedono alla partizione.

Spostiamoci nella cartella di installazione di ownCloud, per esempio con:

Quello che ci interessa è la cartella, di ownCloud, contenente l’eseguibile occ.

A questo punto digitiamo il comando per ricostruire tutta la partizione dell’utente all’interno di ownCloud. Attenzione, questo comando reimposterà tutte le configurazioni delle cartelle su ownCloud gestite dall’utente.

Faccio notare che il nome_utente è l’utente proprietario dei file nella partizione linux, per esempio www-data se siamo sotto apache (lo vediamo con il comando precedente).

utente_owncloud è invece l’utente registrato in ownCloud, ovvero lo username dell’utente a cui appartiene la partizione.

In questo caso verrà utilizzato il PHP predefinito configurato all’interno di Linux, qualora voleste (o doveste) utilizzare un’altra versione, sarà sufficiente digitare il percorso per intero; ad esempio sotto Plesk i file binari del PHP7.0 si possono recuperare in questo modo:

Per maggiori informazioni e dettagli consiglio la pagina della documentazione ufficiale di ownCloud.

Vedi articolo

[ubuntu] Aggiungere virtual host, ovvero aggiungere dominio su server Apache

Immaginiamo di avere un dominio che punta all’indirizzo IP del nostro server, per esempio petarkaran.it indirizzato su 82.165143.26. Affinché al dominio risponda Apache con un sito web è necessario aggiungere un virtual host opportunamente configurato.

Per farlo anzitutto creiamo la cartella del nostro sito. Spostiamoci su /var/www

E creiamo una cartella, a nostro piacere, che di solito si nomina come il dominio (ma non è obbligatorio):

Affinché Apache ci possa lavorare correttamente è necessario riassegnarle l’utente opportuno, cioè www-data, visto che in questo modo il proprietario della cartella è root:

Adesso creiamo il file di configurazione del virtual host, per farlo spostiamoci su:

A questo punto creiamo il nostro file:

Possiamo anche copiarlo da un file esistente, per esempio:

Qualora avessimo creato il file di sana pianta incolliamo dentro il seguente contenuto base:

Per abilitare il sito digitiamo:

Adesso al nostro dominio, sulla porta 80, risponde Apache con il sito sulla suddetta cartella.

Vedi articolo

[php] Interroghiamo un database MySQL su cluster mediante il PHP

Obiettivo: anzitutto creiamo una classe per mediare la connessione MySQL (con o senza cluster è indifferente) e testiamo il cluster MySQL creato nell’esercizio precedente

Per realizzare il nostro scopo avviamo un server apache sulla nostra macchina host, dove abbiamo già avviato 3 macchine virtuali che costituiscono il nostro MySQL Cluster.

Per avviare il server apache mi avvarrò di XAMPP.

Inoltre prima di procedere devo inoltrare la porta 3306 verso il MySQL Cluster Manager che ho configurato in precedenza. Per farlo mi è sufficiente spostarmi in File ⇒ Preferenze ⇒ Rete

Selezioniamo la nostra Rete NAT corrispondente al cluster che abbiamo realizzato e andiamo a configurare l’inoltro delle porte, per ottenere qualcosa di simile a questo:

A questo punto andiamo nel nostro PHP. Creiamo anzitutto un file /inc/MySQLDb.php contenente il seguente codice:

Andiamo adesso a creare il nostro file index.php:

Eseguendo la pagina index.php è molto probabile incorrere nel seguente output di errori:

Questo tipo di errore può dipendere o dal fatto che stiamo richiedendo una query troppo grossa, oppure perché il nostro Server MySQL non è predisposto per accettare le connessioni dall’esterno.

Per risolvere il problema procediamo nel modo seguente.

Anzitutto creiamo un utente apposito con il quale ci collegheremo dall’esterno (nel mio caso gli garantirò tutti i permessi possibili su tutti i database, ovviamente andrebbe limitato ad uno specifico database).

Accediamo al mysql sul nostro cluster manager digitando:

Inseriamo la password di root e poi eseguiamo le seguenti due query per creare l’utente zelda:

Faccio notare che con ‘zelda’@’192.168.56.1’ garantiamo l’accesso all’utente zelda dall’indirizzo 192.168.56.1 che è l’indirizzo esterno della nostra rete NAT su Virtual Box.

Digitiamo exit per uscire e andiamo a modificare il file di configurazione del mysql:

Cerchiamo la voce bind-address e commentiamola in modo che risulti in questo modo:

Infine modifichiamo anche il file /etc/mysql/my.cnf

Inseriamo in fondo max_allowed_packet=16M in modo tale che il file risulti così

Quest’ultima modifica è di solito sufficiente per correggere il precedente errore, se dovesse ripresentarsi possiamo alzare ancora questo valore.

Fatto tutto questo riavviamo il servizio mysql digitando:

Se abbiamo fatto tutto bene non ci saranno errori.

A questo punto modifichiamo il file index.php di sopra perché appaia in questo modo:

Eseguendo la pagina dovremmo vedere qualcosa di simile a questo:

Questo significa che è tutto andato correttamente. A questo punto divertiamoci ad inserire qualche altro utente e generare una tabella con HTML corretto. Modifichiamo il file PHP come segue:

Il risultato, aggiornando la pagina, dovrebbe essere simile a questo:

Infine facciamo una prova per caricare di dati il nostro cluster.

Modifichiamo il file index.php alterando la parte dell’inserimento degli utenti come segue:

Prima di aggiornare la pagina andiamo nel nostro cluster manager e digitiamo:

Quello che dovremmo vedere sarà un risultato simile a questo:

Inserendo 10.000 record, con il precedente script, dovremmo vedere questa “importante” differenza:

Vedi articolo

[ubuntu] Installare Google PageSpeed Insights su server Apache

Su PageSpeed Insights Google mette a disposizione un utile strumento per verificare la velocità del proprio sito web, assieme a diversi parametri di ottimizzazione. Inutile dire che si tratta anzitutto di uno strumento di panoramica, che ci consente di verificare determinate caratteristiche tecniche del sito, che non devono essere per forza tutte soddisfatte (a volte è semplicemente impossibile, come quando segnala tra i javascript da ottimizzare quelli di Google Analytics stesso).

Vediamo come installarlo sul nostro server (come al solito nell’esempio utilizzo un Ubuntu Server 16.04).

Anzitutto apriamo il terminale e scarichiamo il file di installazione:

Questo comando scaricherà un file mod-pagespeed-stable_current_amd64.deb nella cartella che abbiamo selezionato.

Installiamo il pacchetto con:

A questo punto eseguiamo il controllo di tutte le dipendenze dei pacchetti installati con:

Se tutto è andato a dovere riavviamo apache.

Per attivare PageSpeed sarà sufficiente aggiungere, nella configurazione del virtual host, oppure in un file .htaccess l’istruzione:

Maggiori informazioni sui parametri di configurazione si trovano sul sito ufficiale.

 

Vedi articolo

[CentOS] Prima installazione e configurazione base per webserver (LAMP, fail2ban)

Oggi ho deciso di cimentarmi nell’installazione di quel obbrobrio modaiolo che è CentOS. Dico così perché è a tutti gli effetti utilizzato da meno del 20% dei webserver ed in generale mi sono convinto che venga scelto più per una questione di moda, che per qualche reale vantaggio rispetto ad Ubuntu/Debian.

Fonte w3techs.com

Lungi dal voler scatenare una guerra tra distribuzioni, questo resta naturalmente un mio personalissimo parere, corroborato da “qualche” statistica (cioè non toglie, che io stesso, in momenti di malignità, abbia installato CentOS, per il morboso gusto dell’esperimento sulla pelle d’altri).

Comunque sia avventuriamoci in questo mondo e vediamo un po’ di differenze rispetto ad Ubuntu e Debian.

Come al solito utilizziamo VirtualBox e putty, mentre per scaricare la ISO è sufficiente andare sul sito ufficiale.

1. Installazione

Anzitutto ci viene chiesto che cosa intendiamo fare, scegliamo la prima opzione (banalmente premiamo INVIO, oppure I) e proseguiamo.

A questo punto compare una schermata con interfaccia grafica dove scegliere la lingua di installazione.

Scegliamo l’italiano come nella figura seguente e poi proseguiamo.

Selezioniamo Continua e ci troviamo di fronte alla schermata di tutte le impostazioni possibili.

Notiamo come è segnalato un “problema” sulla destinazione dell’installazione, unica cosa che dobbiamo scegliere effettivamente. Tutti gli altri parametri sono preconfigurati nella versione minima predefinita e possiamo lasciarli tali. Clicchiamo quindi su destinazione di installazione.

Scegliamo il nostro disco (nel mio caso quello da 30GB) e lasciamo la configurazione automatica (come avremmo fatto per Ubuntu). Clicchiamo su FATTO.

Adesso è possibile scegliere Avvia installazione.

Mentre prosegue l’installazione, con tanto di banner pubblicitario non richiesto (e questo già la dice lunga su dove ci stiamo avventurando) possiamo configurare la password di root ed eventuali altri utenti. In questo caso creiamo soltanto il nostro utente root dandogli una password. Clicchiamo su password di root.

Se si trattasse di una vera installazione online ci converrebbe, naturalmente, scegliere una buona password. Io ne metto una semplice, che però non sia troppo semplice e venga accettata. Il fatto stesso che il sistema “protesti” all’inserimento di “password” è un altro dei punti che trovo detestabili, visto che ho scelto linux proprio per fare, e sbagliare anche, di testa mia. Ma procediamo. Io ho messo una password un po’ più complessa, anche se si tratta di un esempio.

Quando l’installazione è completata possiamo riavviare il sistema.

Adesso possiamo cominciare a lavorare.

2. Connessione in SSH e configurazione rete

Se avete scelto l’installazione minima prima di potersi collegare in SSH, dopo aver inoltrato le porte su VirtualBox, qualora stesse lavorando sotto NAT come sto facendo io, è necessario avviare il servizio di rete. Per farlo digitiamo:

Senza questo servizio avviato non ci si può nemmeno collegare a internet.

Apriamo putty (o il nostro client ssh) e colleghiamoci normalmente alla macchina che abbiamo appena installato.

A questo punto impostiamo la rete perché si avvii automaticamente ad ogni riavvio del sistema (altrimenti dovremmo farlo noi a mano). Per poter modificare il file avremo bisogno di un editor di testo, quindi installiamo nano (ce ne sono anche tanti altri):

Ci verrà chiesto di confermare l’installazione e sarà sufficiente premere y o s, in base a quello che viene proposto.

Fatto questo identifichiamo la nostra scheda di rete, ifconfig non funziona perché andrebbe installato, quindi digitiamo:

Nel mio caso vengono mostrate le seguenti due schede:

Faccio notare che la prima interfaccia di rete è quella locale, chiamata lo, mentre la seconda è la scheda di rete della macchina virtuale (in una configurazione su macchina fisica qui avremmo eth0 probabilmente) chiamata enp0s3.

Da qui possiamo anche vedere che alla scheda di rete è stato assegnato l’indirizzo IP 10.0.2.15 (classica configurazione di VirtualBox).

Quindi andiamo a vedere i file di configurazione di rete e digitiamo:

Questo ci mostrerà vari file di configurazione, come nella schermata seguente:

Notiamo i primi due file che hanno i nomi ifcfg-enp0s3 e ifcfg-lo. Modifichiamo quindi il file di configurazione della scheda di rete:

Ci dovremmo trovare di fronte a qualcosa di simile a questo:

Modifichiamo il parametro ONBOOT=no facendolo diventare ONBOOT=yes. Salviamo premendo CTRL+O e riavviamo il computer per accertarci che sia tutto andato bene.

Per riavviare digitiamo:

Se tutto è andato bene potremo accedere normalmente in SSH.

3. Installazione server LAMP

Adesso è il momento di installare il nostro server LAMP (Linux + Apache + MySQL + PHP). Anzitutto digitiamo:

Una volta completata l’installazione dobbiamo avviare il servizio e configurare il firewall perché sia accessibile.

Quindi per avviare il servizio digitiamo:

Mentre per configurare il firewall utilizziamo firewall-cmd digitando:

Faccio notare che quello che viene configurato sono 2 servizi, ovvero due porte, HTTP 80, HTTPS 443.

Andando all’indirizzo http://192.168.56.1/ (questo è il mio indirizzo della macchina virtuale) possiamo verificare che il server web funzioni correttamente (apparirà una pagina con scritto Testing 123…)

Adesso dobbiamo installare MySQL / MariaDB, MariaDB è l’evoluzione del MySQL, compatibile con quest’ultimo. Nel nostro caso installiamo MariaDB (giusto per variare un po’ sul tema, per il MySQL la procedura è analoga). Quindi digitiamo:

Faccio notare che il flag -y permette di installare tutto senza ulteriori richieste di conferma. In modo analogo a prima digitiamo poi:

In questo modo abilitiamo ed avviamo il servizio. Adesso però dobbiamo impostare la password dell’utente principale del database, che si chiama sempre root, anche se è diverso dal root di sistema. Oltre a questo vogliamo configurare alcuni parametri di sicurezza. Digitiamo:

Verranno poste le seguenti domande:

  1. Enter current password for root (enter for none): PREMIAMO INVIO, non c’è nessuna password di root per ora
  2. Set root password? [Y/n]: Y
  3. New password: METTIAMO UNA PASSWORD
  4. Re-enter new password: RIPETIAMO LA SUDDETTA PASSWORD
  5. Remove anonymous users? [Y/n] Y
  6. Disallow root login remotely? [Y/n] Y
  7. Remove test database and access to it? [Y/n] Y
  8. Reload privilege tables now? [Y/n] Y

In questo modo abbiamo messo in sicurezza e configurato il nostro database.

Adesso è il turno del PHP. Per assicurarci di scaricare la versione più recente, ovvero il PHP7, aggiorniamo la repository.

A questo punto digitiamo:

Questo installerà il PHP7.0.

A questo punto comincia una piccola avventura degna solo di CentOS. Anzitutto bisogna abilitare il PHP affinché venga eseguito dal motore php-fpm (il PHP è un linguaggio compilato sul momento e può essere eseguito da diversi motori). Per qualche ragione l’installazione con yum non si occupa di questa cosa. Spostiamoci quindi in /etc/httpd/conf.d/ dove andremo a creare un file di configurazione chiamato fpm.conf. Attenzione, nel nome non c’è niente di speciale, poteva anche essere ilmiophp.conf. L’importante è l’estensione *.conf. Digitiamo quindi:

In questo modo reindirizziamo le richieste dei documento PHP al server fcgi.

A questo punto dobbiamo avviare il servizio e riavviare Apache, digitando la seguente serie di comandi:

Eventualmente, se avessimo bisogno, possiamo visualizzare lo stato del servizio fpm-php digitando:

A questo punto creiamo la nostra solita pagina PHP di prova in /var/www/html (stesso percorso predefinito di Ubuntu):

Dentro il file incolliamo:

Salviamo premendo come al solito CTRL+O.

Adesso apriamo la nostra pagina web al solito indirizzo di prima http://192.168.56.1/. Quello che vediamo, per la nostra massima felicità, è quanto segue:

Questo dipende dal fatto che abbiamo creato il file index.php come root, e non gli abbiamo assegnato l’utente di Apache. Per farlo anzitutto controlliamo l’utente con cui gira Apache aprendo:

Scendendo nel file vedremo una voce simile a questa:

In questo caso (ma è così di solito) il nostro utente è apache ed il gruppo è apache. Quindi modifichiamo i permessi sul file appena creato:

A questo punto ricontrolliamo e scopriamo due cose:

1. l’errore si presenta uguale a prima

2. la guida di CentOS stesso fa totalmente schifo. Le istruzioni da incollare dentro ad fpm.conf le ho infatti copiate da qui, quello che però non viene detto è che andrebbe anche configurato index.php come pagina predefinita, altrimenti apache pensa che, non essendoci una index.html, non si possa accedere alla cartella

Quindi digitiamo:

E modifichiamo il file di prima in modo tale che risulti così (ho aggiunto solo l’ultima riga):

A questo punto riavviamo Apache:

E il risultato che otteniamo collegandoci a http://192.168.56.1/ dovrebbe essere così:

Controllando la pagina web precedente vedremo che non è installata l’estensione per gestiore MySQL/MariaDB. Per farlo è sufficiente digitare:

Una volta fatto riavviamo il servizio FPM PHP.

Adesso però verifichiamo se è andato davvero tutto bene collegandoci anche al database. Anzitutto creiamo un nuovo database.

Per farlo accediamo al MySQL/MariaDB che abbiamo installato prima. Digitiamo:

Attenzione! La medesima istruzione va digitata anche nel caso che si stia usando MariaDB, come sto facendo io, che vi ricordo è un aggiornamento di MySQL perfettamente retrocompatibile.

Digitiamo la password del database e ci troviamo nella console di gestione di MariaDB, che appare così:

Questo significa che non abbiamo selezionato alcun database. Adesso creiamo un database (io lo chiamerò petar):

Proviamo anche a creare un utente chiamato petar e che possa accedere a tale database solamente da localhost (quindi da connessione locale). Per farlo digitiamo:

La password per il nuovo utente sarà password123. Per uscire dalla console del MariaDB digitiamo:

Adesso torniamo sul nostro file /var/www/html/index.php di prima e modifichiamolo nella maniera seguente:

Se abbiamo fatto tutto bene andando su http://192.168.56.1/ vedremo qualcosa di simile a questo:

In caso che ci sia stato qualche errore (possiamo riprodurlo di proposito sbagliando la password nel suddetto codice php) dovremmo vedere qualcosa di simile:

Accertiamoci anche che, modificando il codice in questo modo:

Nella suddetta pagina appaia la seguente sezione dedicata al MySQL.

Se per qualunque ragione non dovesse esserci la libreria non è installata correttamente.

4. Configurazione Firewall

A questo punto controlliamo lo stato del firewall. Vediamo anzitutto alcuni comandi utili.

Per accertarci che sia attivo digitiamo:

A questo punto controlliamo lo stato della configurazione digitando:

Dovremmo vedere qualcosa di simile a questo:

Notiamo che l’interfaccia del firewall è su enp0s3 (la nostra unica scheda di rete, su una macchina fisica tipicamente eth0).

I servizi attivi sono invece ssh dhcpv6-client http https. Ricordiamoci che queste ultime due le abbiamo configurate al punto 3 precedente.

Come già detto, quindi, per aggiungere un nuovo servizio al firewall è sufficiente digitare:

Mentre per rimuoverlo, ad esempio rimuovere il servizio http, basta digitare:

In entrambi i casi, affinché le modifiche abbiano successo, è necessario riavviare il firewall:

Tutto questo è molto bello, ma sinceramente preferisco lavorare con iptables. Ricordiamoci che sia firewalld che iptables sono due software, distinti, che gestiscono il firewall vero che si chiama netfilter. Per verificare che sia installato, dovrebbe esserlo, digitiamo:

Il risultato dovrebbe essere qualcosa come: iptables-1.4.21-18.2.el7_4.x86_64

Questo ci indica l’ultima versione installata. Controlliamo quindi, con iptables, qual’è la configurazione attuale.

Quello che viene fuori è un casino simile a questo:

Personalmente trovo tragicomico che un’installazione minima di CentOS parta con una simile configurazione di iptables (e soprattutto parta con aperta solamente la porta SSH). Essendo un’installazione minima ci si potrebbe aspettare che il firewall non sia configurato e che tutte le porte siano aperte, per poi dovercene occupare noi.

Per tanto, siccome voglio avere una visione chiara della situazione del firewall, resetto tutto quanto impostando aperte solo le porte per SSH, HTTP e HTTPS. Per farlo mi è sufficiente eseguire il seguente codice da terminale (va bene anche un copia/incolla)

Per approfondimenti suggerisco: Lavorare con iptables su Ubuntu [per pinguini in erba]

Il risultato di questa purga, digitando iptables -L, dovrebbe essere così:

Per salvare la configurazione dobbiamo installare i servizi di iptables digitando:

Abilitiamo il servizio digitando:

Già che ci siamo sbarazziamoci di firewalld:

Riavviamo il servizio iptables (fino ad ora abbiamo usato solo il programma client):

E infine salviamo:

A questo punto dovremmo ricevere una conferma di questo tipo:

Per accertarci che tutto sia andato bene possiamo riavviare l’intera macchina con un reboot now e ricontrollare lo stato del firewall digitando iptables -L.

5. Installazione di fail2ban

Come ultima operazione installiamo fail2ban, onde limitare le possibilità di ricevere attacchi sulla porta 22 del protocollo SSH. In questo modo evitiamo che si possano fare numerosi tentativi per scoprire i dati di accesso, bannando via via gli indirizzi IP da cui arrivano gli attacchi.

Per installare fail2ban anzitutto aggiungiamo il pacchetto EPEL Project alla nostra repository.

Qualora risultasse già installato tanto meglio. Procediamo installando fail2ban:

Completata l’installazione abilitiamo fail2ban digitando:

Adesso configuriamo il programma. Per farlo possiamo modificare alcuni file. In particolare teniamo presente le seguenti cose:

  1. /etc/fail2ban/jail.conf questo il primo file di configurazione, è quello predefinito, lo possiamo modificare, ma se vogliamo fare un lavoro pulito ci conviene lasciarlo così com’è
  2. /etc/fail2ban/jail.d/*.conf, questi sono i file *.conf predefiniti, vengono accorpati al file precedente, sostituendo eventuali parametri equivalenti, anche questi file possono essere lasciati intatti così come sono
  3. /etc/fail2ban/jail.local questo è il file di configurazione locale, segue ai due file precedenti, e quindi ogni modifica apportata qui dentro potrà sovrascrivere le precedenti
  4. /etc/fail2ban/jail.d/*.local, infine questa è la cartella nella quale si troveranno i file *.local personalizzati che andranno a sostituire quelli precedenti e verranno accorpati in ordine alfabetico

Quindi anzitutto impostiamo i parametri base per fail2ban modificando il seguente file:

Il file risulterà vuoto, quindi ci possiamo incollare dentro i seguenti parametri. Questi andranno a sostituire quelli di default.

A questo punto creiamo un file per l’SSH digitando:

Ricordiamoci che i file verranno letti in ordine alfabetico, nel nome del file, a parte l’estensione *.local, non c’è niente di speciale. Si poteva anche chiamare 001-config.local.

Salviamo e riavviamo fail2ban:

Verifichiamo la situazione digitando:

Ci dovrebbe comparire qualcosa di simile:

Notiamo che è abilitata una jail per l’sshd. Stessa verifica la possiamo fare su iptables digitando iptables -L e controllando la presenza di una chain per fail2ban.

Per accertarci che tutto vada bene possiamo tentare di accedere in SSH sbagliando password. Inutile dire che una volta bannati dovremo poter accedere direttamente alla macchina per sbannarci.

Per visualizzare gli ip bannati è sufficiente digitare (per la chain f2b-sshd creata fa fail2ban dentro al firewall):

In questo caso il mio IP è il 10.0.2.2 e possiamo notare che appare tra quelli bannati:

Per rimuoverlo, ovvero sbloccare l’indirizzo ip bannato, basta digitare:

A questo punto possiamo accedere nuovamente mediante SSH.

Adesso abbiamo configurato CentOS per essere pronto ed operativo come server LAMP.

Vedi articolo

Configurare VirtualHost su Apache, database MySQL e accesso FTP per un utente con BASH

L’esercizio in bash che propongo stavolta consiste nell’automatizzare la configurazione di un hosting sul nostro server Apache, ovvero la configurazione del VirtualHost, di un nuovo utente e database MySQL e di un accesso FTP.

L’obiettivo è quello di arrivare ad avere uno script utilizzabile nel modo seguente:

I parametri che vogliamo passare al nostro script sono:

  • -u: il nome dell’utente che vogliamo creare
  • -d: il nome del dominio che vogliamo registrare come VirtualHost di Apache
  • –dbadmin: il nome utente dell’amministratore del database, quello in grado di creare altri utenti all’interno del MySQL
  • –dbpass: la password del suddetto utente del database MySQL

Questo ci darà occasione per esplorare diverse caratteristiche di bash.

Anzitutto vogliamo acquisire ed elaborare i vari parametri passati al nostro script. Finora abbiamo visto che i parametri possono essere letti usando $# per contare il numero di argomenti, $0 per visualizzare il nome dello script, $1 per prendere il primo parametro, $2 per prendere il secondo e via discorrendo.

Adesso vogliamo prendere un numero indefinito di argomenti e parametrizzarli, vediamo come fare:

Usiamo quindi un ciclo while che continuerà ad andare avanti finché il numero di parametri passati allo script non sarà 0. Quindi acquisiamo il primo parametro $1 e lo passiamo ad una variabile chiamata parametro. Utilizziamo adesso un interruttore (case…esac) per cui in base al valore di parametro si attiveranno diverse opzioni.

Ciascuna opzione è scritta nella forma

Qui al posto di valore può essere un singolo valore oppure un gruppo diviso da |, nella maniera di valore1|valore2. Al posto dei puntini ci va del codice a piacere che vogliamo attivare in base alla variabile. Il principio, concettualmente, è identico a quello della realizzazione del programma in bash con menu.

Il comando shift, in bash, rimuove gli argomenti passati ad uno script a partire dall’inizio della lista, cioè dal primo argomento. Questo significa che ad ogni ciclo del while non prenderemo il primo argomento, lo controlleremo e poi lo rimuoveremo dall’elenco. Quando si digita due volte shift, si estraggono due parametri.

Viene da se che se l’argomento $1 è, per esempio, uguale a “-d“, allora l’argomento $2 dovrà contenere il nome del dominio e quindi una volta letti li rimuoveremo entrambi.

Se invece l’argomento $1 fosse uguale a “-h” oppure a “–help“, allora visualizzeremmo, senza ulteriori opzioni, una guida allo script. In questo caso dovremmo rimuovere un solo argomento.

Fatto questo cominciamo ad elaborare i parametri acquisiti. Anzitutto controlliamo se sia stato passato un nome utente del database:

Se non c’è un nome utente del database chiamiamo una funzione che stampi l’errore:

In questo caso vogliamo usare, visto che possiamo, anche dei colori, e quindi colorare di rosso la parola “ERRORE!”. Per farlo facciamo riferimento all’ANSI escape code.

Quindi possiamo usare le seguenti combinazioni:

Questo significa che se nella string “ERRORE! C’è un errore” fosse scritto “\033[0;31mERRORE!\033[0m C’è un errore” la stringa verrebbe colorata tutta di rosso, fino al nuovo colore che è, in questo caso, quello nullo predefinito. Ovvero così:

Per comodità vogliamo parametrizzare alcuni colori inserendo, in cima allo script il seguente codice:

La variabile NC starebbe per No Color, ovviamente i nomi sono a piacere.

Fatto questo controlliamo se sia stata passata anche la password, se non è stato fatto la richiediamo:

Potremmo aggiungere altri controlli (per esempio sul nome del dominio, ecc.) ma per ora tralasciamo ed andiamo a creare la cartella del vhost sotto a /var/www.

Utilizziamo 2>/dev/null per reindirizzare l’output di un eventuale errore e non mostrarlo a schermo, mentre il connettore || vuol dire che, dati due comandi A e B per cui A || B, se A non va a buon fine, allora esegui B.

Fatto questo creiamo subito l’utente FTP dedicato e la relativa password. In questo esempio do per scontato che abbiamo installato ProFTPd e che sia già stato configurato correttamente sul nostro server:

Con il primo comando creiamo una password casuale di 12 caratteri.

Creiamo poi un utente chiamato come da argomento e assegniamo, alla cartella creata in precedenza, come proprietario l’utente appena creato e come gruppo www-data (ricordiamoci che sulla cartella deve poter interagire anche Apache). Fatta questa modifica con il comando usermod -d assegniamo la cartella alla home dell’utente. Questo viene fatto per motivi di sicurezza, per cui l’utente che accede al FTP acceda direttamente alla sua “home“, corrispondente anche allo spazio web.

Dopodiché impostiamo la password appena creata come password del nostro utente, ed infine stampiamola a video.

Faccio notare che perché –shell /bin/false non dia problemi, così come la questione della home, è necessario che nel file di configurazione di ProFTPd (/etc/proftpd/proftpd.conf) siano presenti i seguenti parametri così configurati (tipicamente va tolto il cancelletto):

Fatto questo scriviamo il nostro file del VirtualHost:

In questo caso vogliamo creare un file del tipo nomedominio.conf dentro a /etc/apache2/sites-available/, già che ci siamo sostituiamo il . con un _, in modo tale che nomedominio.com diventi nomedominio_com e il nome del file nomedominio_com.conf. Con l’istruzione EOF possiamo scrivere direttamente dentro il file il testo contenuto in mezzo.

Fatto questo ricarichiamo Apache:

Adesso ci manca solamente il database:

Anche in questo caso abbiamo creato una password che assoceremo ad un utente chiamato come il database medesimo e che ha accesso solamente dal server locale.

Infine, per testare il tutto (questo certo non sarebbe uno standard opportuno per un vero hosting) creiamo un file index.php nel VirtualHost appena configurato e inseriamo dentro i seguenti parametri:

Se tutto è andato bene collegandoci al dominio del hosting appena registrato dovremmo veder scritto Nome_Dominio under construction e nessun avviso di Errore database.

Aggiungo anche un’ultima funzione utile per ripristinare il tutto quando si usa il parametro –fix, cancellando quindi il vhost e le relative cartelle:

Il codice completo, riorganizzando quanto detto prima, è questo:

Il codice è stato scritto e testato su Ubuntu Server 16.04, con sopra installati Apache, MySQL, PHP, OpenSSL e ProFTPd.

Vedi articolo

Labirinto disegnato in PHP

Per gli appassionati di Pathfinder come me capita di fare il master e voler proporre qualche simpatico labirinto ai propri avventurieri. Online si trovano già moltissimi generatori di dungeon, però ho deciso di svagarmi un po’ questo sabato pomeriggio creando uno tutto mio in PHP.

Questo è il risultato (si rigenera ad ogni refresh della pagina):

Vediamo il codice sufficiente per ottenerlo:

Le impostazioni nell’esempio sono le medesime per ottenere l’immagine di sopra.

Vedi articolo

Installazione Ubuntu webserver pronto all’uso [per esordienti totali]

Esistono diverse edizioni di Linux chiamate distro (da distribuzione) ed una delle più popolari e maggiormente utilizzate (oltre che da me preferite) è Ubuntu, una distribuzione derivativa da quella di Debian.

Senza entrare in ulteriori dettagli vediamo quindi come realizzare un webserver pronto all’uso con Ubuntu.

Anzitutto dobbiamo scaricare il sistema operativo dal sito ufficiale.

Scegliete il meccanismo di download che più vi aggrada.

La versione che utilizzeremo sarà la 16.04.2 LTS.

Le versioni LTS (long-term support) offrono invece aggiornamenti per cinque anni: l’ideale per chi ha bisogno di maggiore stabilità.

Altri ingredienti necessari saranno:

  1. VirtualBox (se non avete ancora una macchina fisica su cui installare il server)
  2. putty per l’accesso in SSH al nostro server (sui vantaggi nell’usarlo torneremo successivamente)

Una volta tutto preparato usiamo l’ISO scaricata dal sito ufficiale per iniziare con l’installazione.

Anzitutto ci viene richiesta la lingua, possiamo selezionare l’italiano.

A questo punto selezioniamo “Installa Ubuntu Server”, altre funzioni sono molto utili ma non necessarie in questo momento.

Prima che l’installazione cominci, dal momento che abbiamo scelto l’italiano, veniamo avvisati che alcune parti potrebbero non essere tradotte, quindi saranno in inglese. Niente di importante o che possa compromettere il sistema. Scegliamo quindi di proseguire. Ricordo che ci si può muovere tra le impostazioni premendo la tabulazione (tasto TAB, quello sopra BLOC MAIUSC con le frecce in opposizione), quando scegliamo l’opzione desiderata premiamo INVIO.

Confermiamo il paese come Italia.

Scegliamo di NON determinare automaticamente la tastiera, in genere non è necessario se lavoriamo con una tastiera standard.

A questo punto ci viene richiesta la disposizione della tastiera e lasciamo ancora una volta Italian.

Selezioniamo la prima scelta, nella maggior parte dei casi andrà bene. Se siamo a conoscenza del modello esatto della tastiera, se lavoriamo per esempio con la tastiera di un Mac, scegliamo la voce opportuna.

A questo punto ci viene chiesto di dare un nome al nostro computer, detto nome host, per esempio lo possiamo chiamare ubuntu.

A questo punto ci viene chiesto il nome completo dell’utente, potrei mettere Petar Karan, ma per semplificarmi la vita metto semplicemente petar.

Ora ci viene chiesto il nome dell’account, qui è importante scegliere bene perché sarà anche il nome di login e necessario per altre operazioni dopo, quindi conviene che sia pratico da digitare. In teoria sarebbe opportuno che fosse composto di sole minuscole e caratteri alfanumerici senza spazi.

Inseriamo adesso una password per il nostro account. Qui vi ricordo che l’account root resterà disabilitato di default e con l’utente di sopra e questa password, utilizzando sudo, potremo eseguire le operazioni con privilegi di amministratore. La password dovrebbe essere complessa nel caso che il server sia messo in rete.

Adesso ci viene chiesto se vogliamo cifrare la nostra cartella dell’utente; se non abbiamo timore di perdere il disco o che questo possa essere rubato, non è necessario cifrare la cartella, perché questo appesantirebbe le operazioni successive sui file della medesima (anche se non in modo significativo).

Ci viene chiesto di configurare l’orario del nostro computer, per noi in Italia la zona corretta è Europe/Rome; se va bene possiamo proseguire.

Adesso è il momento di partizionare il disco. Scegliamo di farlo con LVM, il che ci permetterà ulteriori operazioni e modifiche dopo, ma non entriamo nel merito adesso. Diciamo che se intendiamo ingrandire lo spazio sul nostro server e poter gestire agilmente il backup, LVM è quello che fa per noi.

A questo punto scegliamo il disco su cui effettuare l’installazione e da partizionare. Il disco stesso sarà ovviamente formattato. Nel mio caso sto lavorando su una macchina virtuale con un disco da 50GB. Faccio notare che 50GB secondo lo standard tradizionale equivalgono a 53.687.091.200 byte che qui vengono mostrati secondo lo standard scientifico, quindi 53,7 GB.

Adesso ci viene chiesto se intendiamo procedere. Diciamo pure di .

Ci viene chiesto di confermare la quantità di memoria da dedicare al gruppo di volumi (LVM). Per adesso su fiducia possiamo dire di selezionare tutto.

Ultima conferma per procedere. Faccio notare che sono stati creati due gruppi di volumi uno per la partizione root e uno per lo swap di sistema (per chi ha familiarità con Windows si tratta di uno spazio sul disco che viene usato per la memoria virtuale del sistema, così come succede su Windows con la memoria fisica – la RAM – e i file di paging)

Adesso ci viene chiesto di configurare, laddove fosse necessario, un server proxy. Nel mio caso, non avendo la rete dietro a proxy, posso saltare la configurazione.

Ci viene chiesto se vogliamo o meno effettuare aggiornamenti automatici. Per quanto siano importanti è bene che li gestiamo noi di persona, verificando via via se sia opportuno o meno aggiornare il server, specialmente se sarà un webserver con servizi offerti a utenti terzi. Qualche aggiornamento potrebbe non andare come ci aspettavamo e potremmo doverlo correggere seduta stante, quindi è meglio gestirli manualmente.

Ora è il momento di selezionare quali software vogliamo aggiungere alla nostra installazione. ATTENZIONE! La selezione viene effettuata premendo il tasto SPAZIO (la barra spaziatrice) e muovendoci con la tabulazione (TAB). Se si preme INVIO l’installazione prosegue con le voci selezionate. Prima di premere invio dovete avere le voci con gli asterischi come nel mio esempio.

In particolare vogliamo installare subito il server LAMP (Linux + Apache + MySQL + PHP) che sarà il nostro classico webserver e il server SSH. Li potremmo installare anche successivamente, ma perché perdere tempo se si può fare subito?

Dal momento che abbiamo deciso per l’installazione del server LAMP ci viene chiesto di configurare la password di root (non è l’utente root di sistema) per il nostro database MySQL. Anche se non sapete ancora di cosa si tratti esattamente, sappiate che serve per avere un webserver LAMP standard e quindi dategli una buona password.

Confermiamo la password.

Infine ci viene chiesto se vogliamo installare il boot loader GRUB. Nel caso in cui il server venga installato ex-novo su una macchina vergine, allora possiamo dire di sì. Questo installerà il boot loader personalizzato che offrirà diverse possibilità di avvio e configurazione dopo.

Quando è tutto completato estraiamo il disco dell’installazione (o rimuoviamo la ISO che abbiamo caricato nella macchina virtuale).

Fatto questo il sistema si riavvierà portandoci alla schermata di accesso.

Per accedere è sufficiente digitare il nome del nostro utente (per me petar) e la password che abbiamo scelto.

Fatto questo abbiamo terminato la prima parte dell’installazione. Adesso il nostro server Ubuntu è pronto e operativo.

Se stiamo utilizzando VirtualBox possiamo cominciare ad inoltrare le prime porte (qualora lo utilizziamo in modalità NAT) verso il nostro server.

Se lavoriamo da Windows possiamo aprire il Prompt dei comandi ed effettuare un ipconfig per trovare l’indirizzo della scheda di rete di VirtualBox. Nel mio caso il risultato è questo (è questo nella maggior parte dei casi standard).

Questo significa che l’IP su cui vedo la rete di VirtualBox è l’indirizzo 192.168.56.1

Per modificare l’inoltro delle porte sulla macchina virtuale è sufficiente andare nelle impostazioni della macchina e poi su Avanzate selezionare “Inoltro delle porte“.

Si aprirà una schermata vuota (se è la prima volta che la usiamo) nella quale dovremo mettere i seguenti dati.

Per aggiungere nuove regole è sufficiente cliccare sul tasto col più verde (freccia rossa). La macchina host è la nostra che vedrà l’IP all’indirizzo suddetto; la macchina guest è la nostra macchina virtuale. Tipicamente, nella configurazione NAT, viene assegnato l’IP 10.0.2.15; per verificarlo è sufficiente utilizzare ifconfig all’interno di Ubuntu nel modo seguente.

Faccio notare che il comando è ifconfig anziché ipconfig come su Windows. Quello che si richiede è la configurazione dell’interfaccia. Ci vengono mostrate due interfacce, enp0s3 (in una configurazione su macchina fisica qui potremmo vedere eht0) e l’interfaccia lo (elle-o, che sta per local), ovvero l’interfaccia degli indirizzi interni alla macchina. Notiamo infatti che sull’interfaccia enp0s3 abbiamo configurato l’indirizzo 10.0.2.15 (che è quello esterno della macchina sulla rete), e sull’interfaccia lo abbiamo configurato 127.0.0.1 che è il nostro localhost.

Fatte tutte queste belle cose, e con la macchina attiva ovviamente, possiamo aprire il browser sulla macchina host (per esempio sul nostro computer Windows) oppure sul computer dal quale ci vogliamo collegare al server con Ubuntu, e digitare nel browser l’indirizzo http://192.168.56.1

Se tutto è andato bene dovremmo vedere una schermata simile a questo. Questo significa che il nostro server web è attivo e pronto all’uso.

Adesso controlliamo che funzioni anche il server SSH. Per farlo ci sarà sufficiente scaricare putty e avviarlo nel modo seguente:

Come potete vedere è sufficiente digitare l’indirizzo del nostro server (tenendo sempre a mente l’inoltro delle porte fatto prima) e cliccare su Open.

Ci verrà chiesto di acquisire la chiave per la crittografia, gli diciamo di .

Ci verrà mostrata la solita schermata di accesso ad Ubuntu dove digitare nome utente e password, come abbiamo fatto al primo accesso.

Il motivo per cui preferisco utilizzare putty anche in una configurazione con la macchina virtuale è la possibilità di copiare ed incollare agilmente i comandi che mi interessano sopra. Infatti per copiare da putty è sufficiente selezionare del testo (qualunque testo selezionato verrà automaticamente copiato). Per incollare è sufficiente cliccare col tasto destro del mouse. Vi consiglio di fare un po’ di pratica prima di cominciare a lavorarci, copiando ed incollando dei comandi elementari per non rischiare di fare pasticci dopo.

Fatto questo passiamo alla configurazione del firewall di Linux.

Firewall su Ubuntu

A prima vista potrebbe sembrare difficile, ma in realtà è tutto semplicissimo.

Anzitutto digitiamo nel terminale il seguente comando:

Siccome è una guida per esordienti totali faccio notare alcune caratteristiche:

  1. sudo server ad eseguire i comandi come SuperUser, significa letteralmente SuperUser do
  2. iptables è il firewall predefinito all’interno di Linux, nello specifico in Ubuntu
  3. -L e -v sono due opzioni per iptables, usando i comandi da terminale possiamo passare ad ogni comando delle opzioni aggiuntive per modificarne il funzionamento, in particolare -L visualizza la lista delle impostazioni e -v lo fa in modo “verbose“, ovvero fornendo numerosi dettagli, per maggiori approfondimenti sui parametri che possiamo passare ad iptables possiamo utilizzare man iptables (man è il manuale interno di Ubuntu)
  4. | questo è un comando di bash che ci permette di effettuare un’operazione successiva sull’output precedente
  5. grep Chain è il comando con il quale “catturiamo” le righe dell’output contenenti la voce Chain che verrà evidenziata

L’output del comando precedente dovrebbe mostrarci qualcosa come:

Prima di proseguire sarà bene chiarire come funziona il firewall dentro Linux. Partiamo con uno schema:

Questo grafico l’ho scopiazzato da qui, dove troverete anche una guida approfondita sul firewall in generale

Come si vede nell’immagine di sopra abbiamo 3 canali principali (detti catene); INPUT, OUTPUT e FORWARD. Il loro scopo potrebbe essere descritto in questo modo:

  • INPUT traffico in entrata, per esempio collegarsi da fuori verso il PC in SSH oppure interrogare il server web in HTTP
  • FORWARD traffico reindirizzato, si usa solo nel caso in cui il PC effettui operazioni di routing
  • OUTPUT connessioni in uscita, per esempio operazioni di ping

Sostanzialmente quello che ci interessa controllare, in un primo momento (senza entrare in configurazioni e monitoraggi più complessi ed articolati) sono le catene in INPUT e FORWARD. Il controllo viene eseguito mediante 3 criteri di “catena”, la chain di cui si parlava prima, ovvero dei criteri che stabiliscono se nel flusso dei dati determinati pacchetti debbano o meno proseguire. I criteri sono i seguenti:

  • ACCEPT permette
  • DROP blocca come se non esistesse
  • REJECT blocca inviando un errore

Se vi sembra tutto complicato aspettate un secondo e vedrete che in realtà è semplicissimo.

Anzitutto chiudiamo tutte le catene in INPUT e FORWARD. Utilizziamo i seguenti due comandi (ATTENZIONE! prima di eseguirli leggere quanto segue):

Faccio notare che:

  • -P cambia i criteri della catena
  • -A aggiunge criterio alla catena esistente

Quando utilizziamo -P significa che vogliamo reimpostare l’intera catena degli INPUT (per esempio), cancellando quindi tutte le impostazioni precedenti. Con il comando -A invece possiamo aggiungere dei criteri.

Se li eseguissimo questi bloccherebbero tutte le connessioni in entrata compresa quella SSH di cui abbiamo bisogno per gestire il sistema, quindi dobbiamo aggiungere un secondo commando nello specifico:

Questo aprirà le connessioni in INPUT.

Se aveste inavvertitamente bloccato tutto (a parte poter lavorare tranquillamente da dentro la macchina) sarà sufficiente eseguire i seguenti comandi per riattivare tutte le porte.

Sarà comunque sufficiente riavviare la macchina, nel caso estremo di inaccessibilità, per ripristinare tutto (e questo ci porta dopo al vedere come salvare le impostazioni).

Comunque sia per effettuare la suddetta chiusura e lasciare aperta solo la porta 22 sarà sufficiente eseguire il seguente comando:

Faccio notare l’utilizzo di && che serve a concatenare i comandi tra di loro, per cui se ho due comandi A e B e digito A && B, B viene eseguito solo se A ha successo. In questo modo collego tutti e tre i comandi e li eseguo di fila, bloccando tutto e aprendo immediatamente la connessione sulla porta 22. Questo mi consente di continuare ad accedere tranquillamente da putty.

Adesso sblocchiamo gli INPUT sulla scheda interna (ricordate la lo di prima?) digitando:

Inoltre sblocchiamo le connessioni in entrata generate da richieste interne (ok, anche qui potremmo avere dei problemi di sicurezza nel caso di malaware interni alla macchina, ma per il momento possiamo supporre di avere un sistema pulito e non preoccuparcene):

Adesso apriamo le porte per l’HTTP e l’HTTPS, rispettivamente le porte 80 e 443 (a meno di non aver cambiato qualcosa):

Fatto questo verifichiamo che sia tutto in regola digitando:

Dovremmo vedere un output simile a questo:

Faccio notare che non abbiamo aperto porte per l’FTP (ma è meglio che resti chiuso), né per IMAP, POP3 o SMTP. Via via che avremo bisogno di tali servizi potremo aprire le specifiche porte.

A questo punto è il momento di salvare la configurazione in modo permanente (ricordate che al riavvio va riconfigurato tutto?), perciò digitiamo:

Questo installerà iptables-persistent (vi ricordo che con apt-get possiamo gestire i pacchetti di installazione Debian/Ubuntu e con il parametro install installarli)

Vi verrà chiesto di confermare l’installazione con un S e poi comparirà una schermata (tipicamente fucsia) dove vi verrà chiesto se salvare la configurazione attuale.

In generale per salvare la configurazione (da Ubuntu 16.04 in poi) è sufficiente utilizzare i seguenti comandi, una volta installato il servizio:

Adesso riavviamo tutto il sistema per verificare di aver configurato tutto correttamente. E’ sufficiente digitare:

Digitando nuovamente:

Verifichiamo che sia tutto al proprio posto. Se è così il firewall è configurato e perfettamente funzionante.

Se volessimo adesso escludere un indirizzo IP bloccandolo ci sarebbe sufficiente digitare:

Dove l’indirizzo 15.15.15.51 è quello ipotetico che vogliamo bloccare. Ad ogni modifica del firewall ricordiamoci di salvare il tutto.

Fail2Ban per bannare i tentativi di accesso illeciti

Siccome abbiamo aperto il server sul SSH la nostra prima preoccupazione dovrebbe essere quella di bloccare tutti gli accessi indesiderati, in particolare di bloccare i tentativi di accesso malevoli. Per farlo su Ubuntu esiste un fantastico programma chiamato Fail2Ban.

Anzitutto installiamo fail2ban digitando:

Una volta installato modifichiamo la configurazione principale digitando:

Visto che siamo degli esordienti totali approfondiamo un paio di cose:

  • cd serve a cambiare cartella, letteralmente change directory, e ci fa posizionare in /etc/fail2ban, ricordiamoci che nella cartella /etc di solito si trovano i file di configurazione dei programmi
  • cp serve a copiare il file jail.conf in jail.local, in questo modo non intaccheremo la configurazione originale di fail2ban e potremo sempre ripristinarla semplicemente cancellando il file appena creato e ricreandolo nella suddetta maniera

Fatto questo digitiamo:

nano è un editor da terminale di Ubuntu, le opzioni che appaiono come ^O oppure ^X sono eseguibili premendo CTRL+O oppure CTRL+X. Queste due in particolare servono a salvare le modifiche apportate e ad uscire dall’editor.

Per muoverci dentro il file utilizziamo le frecce direzionali e spostiamoci verso il basso fino ad individuare le voci che vogliamo modificare. I # servono come commenti, quindi rendono nulle le righe di codice che precedono. Quello che vedremo sarà qualcosa di simile a questo:

Modifichiamo le seguenti voci (cercandole scendendo verso il basso):

Questo imposterà il tempo di ban su 1 ora, ovvero 60*60 secondi e il numero massimo di tentativi sbagliati prima di essere bannati sarà 3.

Il parametro findtime determina invece la finestra temporale per gli errori, impostato a 600 significa che si possono fare 3 errori consecutivi, prima di essere bannati, nell’arco di 10 minuti.

Scendiamo ancora in basso e cerchiamo la jail del SSH che si presenterà così:

Lo modifichiamo per farlo diventare così:

Premiamo CTRL+O per salvare il file.

Faccio notare che abbiamo cambiato il percorso dei file log in modo tale che legga quello giusto.

A questo punto riavviamo il servizio fail2ban (per ricaricare le impostazioni), digitando:

Ci dovrebbe rispondere nel modo seguente:

In caso di errore significa che abbiamo sbagliato a scrivere qualcosa nel file di configurazione.

Per visualizzare gli IP bannati ci sarà sufficiente usare di nuovo iptables.

Mentre per rimuovere un indirizzo IP dalla lista di quelli bloccati sarà sufficiente digitare:

In questo caso la jail dalla quale lo vogliamo sbannare è quella del sshd (la d finale sta per daemon, praticamente un servizio di linux) e sbanniamo l’indirizzo ip 10.0.2.2 che è quello da cui la mia macchia virtuale vede connettersi il sottoscritto.

Adesso passiamo ad installare Webmin, la manna dal cielo per chiunque debba gestire un webserver da remoto.

Installazione Webmin

Anzitutto aggiungiamo la repository di Webmin all’elenco delle sorgenti di installazione per il nostro server. Per farlo modifichiamo il file delle repository digitando:

Aggiungiamo in fondo la seguente riga (con CTRL+V ci spostiamo velocemente verso il basso)

Premiamo CTRL+X per salvare il tutto.

Adesso posizioniamoci nella nostra home (in realtà dovremmo già esserci), qualora non lo fossimo digitiamo:

Chiaramente al posto di petar ci va il vostro nome utente.

Scarichiamo la chiave della repository aggiunta in modo da installarla nel sistema, affinché la riconosca come attendibile.

wget è il comando che permette di scaricare da internet il contenuto di un link e salvare nel computer. In questo caso scaricherà il file dall’indirizzo dato e lo salverà tale e quale nella nostra cartella home.

Appena finito il download digitiamo:

In questo modo registriamo la chiave che ci interessa. Nel terminale dovrebbe comparire un OK di conferma.

A questo punto aggiorniamo la nostra repository interna digitando:

Appena il processo sarà finito possiamo passare all’installazione di webmin.

Per farlo sarà sufficiente digitare (e poi confermare con un S come al solito):

Se tutto è andato come dovrebbe allora vi comparirà un messaggio come il seguente:

Questo significa che possiamo raggiungere webmin alla porta 10.000. Ovvero digitando (nel mio caso, per via della configurazione precedente) https://192.168.56.1:10000

Naturalmente l’indirizzo risulterà irraggiungibile perché va aperta la porta 10.000 sul firewall, per farlo sarà sufficiente digitare:

Ricordiamoci anche di effettuare l’inoltro (qualora usassimo la macchina virtuale) da virtualbox.

Se abbiamo fatto tutto bene dovremmo poter accedere a Webmin in questo modo.

Vi faccio notare che non abbiamo un certificato valido, quindi il browser potrebbe segnalarci la connessione in HTTPS come non sicura. Inoltre, nonostante si siano aperte le porte per l’HTTPS standard, bisogna aprire anche quella di webmin, perché quello standard va sulla 443, mentre webmin (di predefinito) sulla porta 10.000.

Possiamo effettuare il login con i nostri nome utente e password accedendo alla seguente schermata.

Da qui possiamo gestire buona parte delle impostazioni del nostro server, oltre che controllarne sempre lo stato.

E per concludere ultima modifica di sicurezza. Abilitiamo webmin solo verso il nostro indirizzo IP.

Per farlo è sufficiente modificare il file di configurazione, usando sempre il terminale. Digitiamo:

Così apriamo il file di configurazione di webmin.

Subito sotto la riga della porta aggiungiamo una linea dove mettiamo il nostro indirizzo IP (nel mio caso 10.0.2.2, quello da cui mi vede la macchina virtuale)

In questo modo l’accesso sarà consentito solamente dal mio indirizzo. Questo è molto pratico quando avete un indirizzo IP statico, ma anche se non lo aveste potete sempre accedere prima in SSH e abilitare il vostro indirizzo corrente. In questo modo tenete webmin al sicuro e lontano da tentativi di hacking (più o meno, ma non è il momento per approfondire).

Perché la configurazione abbia successo è necessario riavviare webmin digitando:

Quest’ultima operazione è fattibile anche da dentro a Webmin, seguendo le seguenti istruzioni.

Testiamo il PHP

Infine testiamo il nostro webserver creando una semplice pagina PHP.

Anzitutto spostiamoci nella cartella di apache, digitando:

Utilizzando il comando ls vedremo che qui c’è un unico file chiamato index.html, che è quello che abbiamo visto in precedenza quando abbiamo avviato apache.

Cancelliamolo e creiamo un nuovo file index.php

Si aprirà l’editor nano, dentro incolliamo il seguente codice:

Ancora una volta CTRL+O per salvare (e quindi creare) il file, CTRL+X per uscire.

ATTENZIONE! Abbiamo creato il file come root, infatti digitando ls -l dovreste vedere qualcosa di simile a

Per essere un file eseguibile correttamente da apache, e soprattutto per non avere problemi di sicurezza, il file deve essere impostato su www-data, quindi usiamo il comando chown per cambiare proprietario (letteralmente change owner)

Fatto tutto questo visitiamo nuovamente http://192.168.56.1/

Se tutto è andato per il verso giusto dovremmo vedere una simpatica scritta che dichiara a caratteri cubitali: Ciao, Mondo!

 

Ultima revisione: 19 febbraio 2018

Vedi articolo

Fail2Ban creare jail personalizzato (esempio con portale in PHP)

Obiettivo: realizzare una jail personalizzata per Fail2Ban su Ubuntu, per banner gli IP che tentano più di 3 accessi errati su un nostro portale in PHP

Fail2Ban funziona sotto linux e permette di banner mediante il firewall elenchi di indirizzi IP, basandosi sui log dei programmi a cui si vuole applicare.

Vediamo anzitutto come installarlo (per una guida dettagliata rimando alla guida ufficiale, oppure a questa guida qua).

Dal terminale digitiamo:

Ricordo che il connettore && concatena due comandi successivi (per esempio A && B), per cui se il comando A ha successo, allora viene eseguito il comando B.

Una volta installato modifichiamo il file jail.conf digitando sempre sul terminale:

Da qui possiamo fare una prima configurazione modificando i seguenti parametri (non si trovano in questo ordine):

Questo significa che verranno ignorati gli IP interni della macchina, che il tempo di ban sarà di 600 secondi (10 minuti), per ogni 3 errori riscontrati nell’arco di 600 secondi.

Per esempio se volessimo abilitare il controllo degli accessi sul SSH allora cerchiamo la jail relativa e impostiamo true ad enabled.

Adesso creiamo il nostro meccanismo di ban personalizzato.

Per farlo, e testarlo, creiamo anzitutto un file apposito in PHP sotto apache. Da terminale digitiamo:

A questo punto scriviamo nel file PHP il codice necessario per registrare un errore in un file log.