bufferOverflow

Purtroppo esiste sempre qualche script kiddie che giocherella con fastidiosi alert in JavaScript, nel peggiore dei casi creando un loop infinito di alert. In Firefox esiste un bug mai corretto riguardante proprio queste fastidiose finestrelle: se si incappa in una pagina che genera un loop infinito di alert l’unica cosa che si può fare è terminare il processo del browser.

Continua a leggere il post »

Scenario: vogliamo installare Ubuntu via rete come macchina virtuale in VirtualBox utilizzando un server Windows che renda disponibile l’immagine di installazione della distribuzione. Il vantaggio di una soluzione del genere consiste nella possibilità di non dover avere alcun CD o immagine ISO disponibile in locale per installare Ubuntu, tutta la procedura di installazione della distribuzione avverrà via rete, contattando il server remoto che renderà disponibili i file necessari.

Per rendere possibile l’installazione via rete di Ubuntu dovremo trasformare un PC con Windows in un server PXE (Preboot Execution Environment).

Vediamo i passi necessari per allestire il server PXE su Windows.

Continua a leggere il post »

Ho sempre aggiornato installazioni di Ubuntu alle ultime versioni, lasciando come filesystem ext3. Solo su macchine virtuali ho sperimentato ext4 come filesystem di default per Karmic Koala e Lucid Lynx, non notando mai sostanziali miglioramenti per l’utilizzo che faccio di Ubuntu. Ma complice il passaggio di Google a ext4 per i propri cluster Linux, ho deciso di migrare da ext3 a ext4 senza formattare.

Per sperimentare la migrazione ho scelto l’installazione di Ubuntu 9.10 sul mio Samsung NC10, su cui ho impostato un layout di partizioni davvero “rozzo” cioè con un’unica partizione “/” formattata ext3 e una piccola partizione di swap. Ecco i passaggi che ho effettuato per migrare da ext3 a ext4 senza formattare:

Continua a leggere il post »

Per pura voglia di complicarmi un po’ la vita ho deciso di effettuare un aggiornamento a Lucid Lynx Alpha 2 sull’Eee Box B202. Ho effettuato l’upgrade partendo da una Ubuntu 9.10, che funzionava alla perfezione sul nettop di Asus, utilizzando il solito metodo:

sudo update-manager -d

e poi cliccando su “Esegui avanzamento di versione” dalla finestra di update-manager. Tutta la procedura è filata liscia, l’unico errore l’ho avuto nell’aggiornamento di network manager (non ricordo precisamente l’errore restituito) ma non ha compromesso la buona riuscita dell’operazione. Tutto mi sembra funzionare esattamente come con Ubuntu 9.10, con la differenza che ora “uname -a” da terminale restituisce:

Linux ubuntueeebox 2.6.32-10-generic #14-Ubuntu SMP Thu Jan 7 17:38:40 UTC 2010 i686 GNU/Linux

Continua a leggere il post »

Per molti non è una novità ma penso che non a tutti sia noto il comando tasksel in Ubuntu. Si tratta di un tool, creato dal team Debian e poi importato in Ubuntu, utilissimo per personalizzare la propria Ubuntu-box successivamente all’installazione, consentendo di aggiungere task (compiti o “ruoli”) attraverso gruppi di software.

Ipotizziamo di aver bisogno di trasformare la nostra Ubuntu in un web server, in un server DNS, in un server PostgreSQL o semplicemente di voler installare Kubuntu, Xubuntu o Ubuntu Netbook Remix. Con tasksel tutto questo è possibile con pochi clic.

Se proviamo a dare da root il comando in una console, invocheremo un’interfaccia grafica che ci consentirà di selezionare l’installazione di uno o più gruppi di software, semplicemente usando la barra spaziatrice per spuntare con un asterisco i “compiti” (task appunto) che dovrà svolgere la nostra Ubuntu. Se invece deselezioniamo un task già installato (sempre con la barra spaziatrice), verrà rimosso tutto il software associato a quel task.

Continua a leggere il post »

Da qualche giorno sto facendo delle prove, alla portata di tutti, su alcuni tra i blog tecnici più noti nella blogosfera italiana, il mio obiettivo è stato quello di capire quanta attenzione alla sicurezza del proprio blog ci sia. Mi sono concentrato in particolare sui blog che utilizzano WordPress, e mi è bastato controllare due cose che possono costituire un punto debole sfruttabile da un eventuale attaccante: la presenza del numero di versione di WP e l’accesso non protetto alla pagina di login all’area amministrativa.

Le linee guida pubblicate sulle pagine ufficiali del Codex parlano chiaro in termini di “Hardening di WordPress“, eppure sono puntualmente disattese dai blogger per quanto riguarda i due aspetti che ho preso in esame.

Nessuno dei blog presi in esame rimuove il numero di versione “<meta name=”generator” content=”WordPress 2.X” />”, la cancellazione del numero di versione è un espediente non decisivo per evitare attacchi inferti da cracker esperti ma di sicuro un buon metodo per disorientare “script kiddies” che scarichino ed eseguano exploit, trovando la strada spianata nell’individuazione della versione del bersaglio. In alcuni casi poi, cosa forse ancor più grave, le versioni di WordPress non sono neppure aggiornate…

La seconda carenza in termini di sicurezza, questa volta molto più seria, è la mancanza di un .htaccess nell’area amministrativa (“wp-admin”). In questo caso si lascia la pagina di login “scoperta” e direttamente accessibile ad attacchi di tipo brute force (molto frequenti negli ultimi tempi). Anche in questo caso, i blog presi in esame ignorano la possibilità di un .htaccess a protezione.

Continua a leggere il post »

Solitamente si usano i loop device su Linux (Wikipedia offre una spiegazione esauriente) per montare delle immagini ISO e renderle accessibili nel filesystem ma non è l’unico utilizzo, per esempio può essere utile formattare dei file e montarli con l’opzione “-o loop” come se fossero dei device. Un possibile scenario potrebbe essere la creazione di due dispositivi in RAID, servendosi non di due device veri e propri ma solo di file.

I passi da compiere, in sintesi, sono i seguenti: creare due (o più) file con dd, usare losetup per consentire il mount senza l’opzione “-o loop” dei due file come se fossero dispositivi veri e propri da poter formattare, assemblare i due dispositivi in RAID utilizzando mdadm.

Vediamo passo passo come fare, la distribuzione cui faccio riferimento per questa miniguida è Ubuntu:

Continua a leggere il post »