Month: October 2008

Apache – Client denied by server configuration

Tipico errore 403 Access Denied e nel log una stringa simile a quest “client denied by server configuration” con incluso il path del file specifico?

Allora con buona probabilita’ manca una direttiva nella configurazione globale o nella singola del vhost:

<Directory “/var/www/”>
Options None
AllowOverride None
Order allow,deny
Allow from all
</Directory>

Linux – IPv6 Tunnel Broker

Come definire il link ad un tunnel broker i questo esempio HE.net da sistema operativo linux utilizzando i net tools

Prima parte crea l’interfaccia di tunneling sull’ipv4:

ifconfig sit0 up
ifconfig sit0 inet6 tunnel ::216.66.84.42

Seconda parte genera l’endpoint del tunnel in ipv6:

ifconfig sit1 up
ifconfig sit1 inet6 add 2001:470:1f12:11c::2/64

Terza parte definisce la rotta sul device relativo all’endpoing del tunnel per tutto il traffico ipv6:

route -A inet6 add ::/0 dev sit1

Export

Memo, questo e’ solo per ricordarmi l’export del profile:

export PATH=$PATH:/opt/csw/bin:/usr/sfw/bin:/usr/sbin:/usr/bin:/usr/openwin/bin:/usr/dt/bin:/usr/ccs/bin

Whois – Controlli ricorsivi

Come eseguire controlli ricorsivi sui whois e generare un file per singola query usando poche righe di bash scripting, attenzione ai limiti per server (il file si chiamera’ “list” e deve avere un dominio di secondo livello per riga) quindi questo e’ tutto:

#!/bin/bash
declare -a ARRAY
exec 10<list
let count=0

while read LINE <&10; do
whois $LINE > /home/leo/whois/result/$LINE
echo $LINE
ARRAY[$count]=$LINE
((count++))
done

echo Number of elements: ${#ARRAY[@]}
echo ${ARRAY[@]}
exec 10>&-

Cisco – ATM Line Status

Breve memo sul comando per l’analisi dello stato del modulo ATM per le linea adsl in caso di problemi e’ sempre bene verificare i livelli di attenuazione e margine di rumore della linea al fine di valutare la qualita’ del segnale della linea.

router# show dsl interface atm0/0

IRC Cut 01 – #solaris

<Giaco> dannazione non trovo la sprite
<Giaco> solo la fanta
<Giaco> oddio che male sto ginocchiolo
<Giaco> ma sip e’ udp o tcp ?
<Giaco> ah forse era aix udp
<Giaco> non mi piace ios
<mega> ma che stai vaneggiando?
<Giaco> ios e’ come il linux
<Giaco> non e’ come i bsd
<mega> tu fumi troppe canne
<mega> vado a nanna
<mega> notte
<Giaco> era aix o iax ?
<Giaco> ciao

Hardware – MacPRO ITA Keyboard on windows

Vi sarà mai capitato di aver collegato una tastiera Apple ad un PC in particolar modo una PRO Ita, ovviamente nei driver standard la mappatura non esiste, neache lontanamente.

Ho creato con un software fornito da Microsoft (Microsoft Keyboard Layout Creator) la mappatura della tastiera nel file scaricabile qua sotto è contenuto un installer e il sorgente per modificabile.

Attezione il tast “DEL” è mappato con il tasto virgola del tastierino per comodità.

Keyboard Layout MacPRO ITA

Cisco – SSH

Ecco come abilitare, l’ssh sugli apparati con cisco con IOS

Prima fase configurare un dominio, e generare i certificati, al fine di incrementare la sicurezza consiglio di usare almeno la chiave 768 Bit che permette l’uso di SSH v2

route_01_no#conf t
Enter configuration commands, one per line. End with CNTL/Z.
route_01_no(config)#ip domain-name stars.deepreflect.net
route_01_no(config)#cry key generate rsa

The name for the keys will be: route_01_no.stars.deepreflect.net
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]: 768
% Generating 768 bit RSA keys, keys will be non-exportable…[OK]

La seconda fase e’ abilitare il protocollo SSH v2 e abilitare le line vty all’accesso:

route_01_no(config)#ip ssh version 2
route_01_no(config)#line vty 0 4
route_01_no(config-line)# transport input telnet ssh
route_01_no(config-line)#
route_01_no(config)#end
route_01_no#

Mac OS X – your network have been changed by another application

Dopo l’aggiornamento sulla sicurezza 2008-006 versione del sistema 10.4.11 e’ insorto un problema nelle preferenze di sistema, sezione network:

All’apertura si verifica questo errore “your network have been changed by another application” non reversibile con gli strumenti messi a disposizione per intenderci il tasto “OK”

Questo succede per dei monivi di sicurezza dato che le preferenze di rete interagiscono in continuazione con il portachiavi di sistema, vedi per le password PPP, le chiavi Airport e altre configurazioni di accesso.

La cosa piu’ sbrigativa sarebbe tenere le configurazioni bloccate con il lucchettino, ma risulta molto scomodo dover autenticare ogni modifica.

Come soluzione definitiva si puo’ procedere in questo modo:
Cercare la seguente cartella

/Library/Preferences/SystemConfiguration

Cancellare i seguenti file:

com.apple.airport.preferences.plist
NetworkInterfaces.plist
preferences.plist
com.apple.nat.plist

Dopo aver fatto questo e’ necessario cancellare tutto il database del portachiavi di sistema, o almeno la definizione delle password legate ai servizi di rete. Attenzione i dati di autenticazione dovranno essere reiseriti al fine di ricostruire con i giusti privilegi il db.

E poi si chiedono perché cambio lavoro.

Lavorereste mai in una societa’ di telecomunicazioni in cui sostituiscono un firewall Checkpoint su piattaforma Nokia con uno Zyxel ZyWall USG.

Sono inorridito

Cisco – Lock & Key

Discutendo una sera sulla sicurezza dei servizi SSH e sull’alternativa di utilizzare porte non standard per ovviare ai frequenti tentativi di instrusione automatici effettuati da bot, l’idea e’ offuscare la porta 22 con stratagemmi simili a port knocking, IOS a riguardo puo’ essere sfruttato con una funzione chiamata Lock & Key si tratta di condizionare una ACL per un tempo limitato per mezzo di autenticazione.

Il meccanismo puo’ essere integrato su router di confine o router di accesso che abbiamo autenticazione locale o TACAS+

– Prima fase e’ abilitare e definire il metodo di autenticazione, in questo esempio e’ locale sul router nel caso ci sia un server ACS specificare i parametri.

aaa new-model
aaa authentication login userauthen local
aaa authentication login clientauth local
aaa authorization network groupauthor local

– Seconda fase definire almeno un utente:

username cisco privilege 15 password cisco

– Terza fase applicare un gruppo all’interfaccia di ingresso:

interface FastEthernet0/0
ip access-group 150 in

– Quarta fase definire l’access list, la prima abilita il telnet, la seconda abilita l’ssh in condizione di autenticazione posiva, e lascia attiva la regola per 120 secondi dopo che connesione viene chiusa:

access-list 150 permit tcp any any eq telnet
access-list 150 dynamic TL01 timeout 120 permit tcp any any eq 22

– Quinta fase definire l’autocommad nella sezione terminali virtuali, nel caso specifico se si esegue un login via telnet si attiva l’ACL, per la gestione del router sono dedicate le line SSH

line vty 0 4
privilege level 15
autocommand  access-enable timeout 5
transport input telnet

line vty 5 9
privilege level 15
transport input ssh

Php – Riconoscimento lingua browser

Visto che mi hanno chiesto un sistema per riconoscere la lingua del browser con successiva visualizzazione del rispettivo contenuto, posto il codice, spiego usanto una variabile di ambiente php e comparando le prime due cifre della lingua impostata nel browser le compara con due lingue italiano e tedesco e successivamente se non sono una di queste due rimanda alla pagine inglese, semplice e coinciso:

<?php
if (substr($_SERVER["HTTP_ACCEPT_LANGUAGE"],0,2) == "it")
{
include("index_ita.htm");
}
elseif (substr($_SERVER["HTTP_ACCEPT_LANGUAGE"],0,2) == "de")
{
include("index_deu.htm");
} else {
include("index_eng.htm");
}
?>

Mac OS X – Verbose Boot

Be l’os x anche se propio non sembra un sistema unix a causa di tutta questa bella grafica, in realta’ lo e’ fino all’osso, quindi nel caso si volesse visualizzare il verbose mode del boot ecco come fare:

Da terminale in modalita’ root:

Per abilitare:

# nvram boot-args=”-v”

Per disabilitare:

# nvram boot-args=

Per la versione del firmware:

# nvram -p

Mac OS X – Flush DNS Cache

Ecco i comandi vari ed eventuali sempre utili, ovviamente eseguiti da terminale:

Leopard 10.5

# dscacheutil -flushcache

Tiger 10.4

# lookupd -flushcache

Server Strings

Adoro quando i server rispondono cosi’ (si, il server di posta e’ in ascolto anche in ipv6):

leobook-w:~ leonardorizzi$ telnet mail.deepreflect.net 25
Trying 2001:470:1f13:10a::100…
Connected to mail.deepreflect.net.
Escape character is ‘^]’.
220 deepreflect.net ESMTP – Life is short talk fast!