GMail VS Microsoft

Quando una dice dell’altra che le sue applicazioni non sono sicure!


GMail

VS

 OutLook1


Questa davvero l’ho trovata divertente: oggi decido di aggiungere il mio account gmail per Medium sul cliente di posta.

Normalmente uso Thunderbird, per mille motivi che non sto qui ad elencare al momento, li carico il profilo dell’account, il programma, correttamente, mi apre una finestra per l’autorizzazione da dare a Google per poter accedere al mio account di posta, e tutto ok.

Ho installato, solo per compatibilità verso i clienti, anche Outlook di Office, e ho voluto, per curiosità vedere se avrebbe gestito correttamente la presa in carico di un account gmail.

Apro il mio bel OutLook configuro l’utente, e continua a dirmi che c’è un errore, o nelle info di accesso, o nelle configurazioni di sicurezza dell’account.

Controllo bene tutto più volte: la porta in entrata e la 993 con protocollo SSL attivato, quella in uscita l’ho cambiata in 587 sempre con protocollo SSL attivo. Non capisco: i parametri son tutti giusti, perché non funziona ?

In contemporanea il notificatore di posta di Thunderbird, mi dice che ho appena ricevuto una mail proprio da Google: vado a vedere che vogliono e trovo quanto segue:

Ciao XXX,

Google ha appena impedito l’accesso al tuo account Google xxxxxxxxxxx@gmail.com da un’app che potrebbe compromettere l’account.

App poco sicura

venerdì 10 marzo 2017 12:28 (CET)

Italia*

Non riconosci questa attività?

Se recentemente non hai ricevuto alcun errore durante il tentativo di accesso a un servizio Google, ad esempio Gmail, da un’applicazione di terze parti, qualcuno potrebbe conoscere la tua password.

PROTEGGI IL TUO ACCOUNT

Sei stato tu a provare ad accedere?

Google continuerà a bloccare i tentativi di accesso da parte dell’app che stai utilizzando poiché presenta problemi di sicurezza noti oppure non è aggiornata. Puoi continuare a utilizzare questa appconsentendo l’accesso alle app meno sicure, ma il tuo account potrebbe diventare più vulnerabile.

Cordiali saluti,

Il team di Google Account

Ricapitolando: se voglio usare OutLook, devo andare in configurazione, del mio profilo di google, e dire che accetto di permettere l’accesso al mio account ad una applicazione che loro definisco insicura. Sarebbe da sentire cosa ne pensa Microsoft di questa cosa !!!!

INDI: se volete usare OutLook di Office per gestire la posta caselle di posta GMAIL tenete a mente che dovrete configurare l’autorizzazione all’accesso all’account delle applicazioni poco sicure nelle configurazioni di Google.

Vi do direttamente il link, così che non impazziate a cercare dove diavolo sia questa configurazione: cliccate qui.

Chiaramente io ho già disabilitato questa cosa e tolto l’account da quelli gestiti da OutLook: la mia era una prova, ma chiaramente non permetterò di configurare bassi livelli di sicurezza nel mio profilo !!

Meditate gente, meditate !!

Una giornata di ordinaria follia (amministrativa)

wow

Come da titolo!! Stamane, alla fine, son andato a fare la benedetta vista alla commissione patenti; erano settimane che mi  dicevo che la cosa non sarebbe finita bene, me la sentivo dentro, e difficilmente quando sento cose del genere ho torto, e così è stato anche stamane!!

Arrivati in orario perfetto, circa le 8.45, siamo scesi nell’area della commissione, ho preso il mio numero, per la coda di attesa, e ci siamo seduti; il cicalino di notifica del passaggio a nuovo utente suona e sul tabellone compare il numero 23: il mio, per cui mi alzo e vado verso la porta alla segreteria, c’è, al solito, un’impiegata seduta ad una scrivania che non ha una sedia per chi deve conferire, della serie “non sei qui per perdere tempo  o farmene perdere per cui la sedia a te non serve“, ma sorvoliamo che esistono persone come me che hanno problemi a stare in piedi !!!! Mi chiede il cognome, come al solito quando lo declamo, anche questa impiegata capisce fischi per fiaschi e chiedere conferma: “Turco?”, ed io come sempre la correggo:”No, CURTO” manca solo che le debba fare lo spelling, sapessero manco farlo qui in Italia!!!

Mi fa un sorriso come a dire:”ok, ok” ed entra un tizio, che deduco essere un collega. Lo guarda come per fargli capire che deve dirgli qualcosa di non udibile dalla plebe, ed io, certo di fare la mia porca figura da persona educata, le dico:”ok capito: aspetto fuori” intendendo che mi allontanavo giusto il tempo che le fosse necessario per dire al collega quella cosa che non poteva davanti a me: lei fa un cenno di assenso a mo di:”grazie molto gentile”, ma allo stesso tempo mi chiede gentilmente di aspettare un attimo fuori che mi chiama subito.

Ok esco e torno al mio posto aspettando di essere chiamato appena avesse finito di parlare con il suo collega. Beep, suona il cicalino e scatta il numero 24, passa qualche minuto e di nuovo beep e scatta il numero 25; decisamente infastidito mi alzo e mi affaccio alla segreteria, mentre il signor 25 esce e domando:”scusi ma c’è qualche problema?” L’impiegata affranta mi guarda e con tono di scusa mi dice:”Guardi inutile raccontarle storie: non troviamo la sua cartella.”; comincia a montarmi il nervoso e penso tra me e me:”ecco lo sapevo che oggi finiva male”. L’impiegata pare leggermi il pensiero e si affretta ad aggiunger:”non si preoccupi, comunque lei oggi farà la visita”. Il suo tono è risoluto, di una persona che sa quello dice e che quindi non devo preoccuparmi di alcun che!!

Dopo un po’ mi chiamano: altra impiegata che mi fa strane domande sull’iter della mia pratica:”Lei non ha proprio chiesto un rinvio? Non ha mandato una mail, telefonato o non è venuto qui di persona a chiedere un rinvio ?”: il mio nervosismo continua a salire e comincio a maledire il momento in cui ho deciso di fare la richiesta del rinnovo della patente non, al solito, presentando di persona la richiesta all’ufficio competente, ma utilizzando il sistema informatizzato. L’impiegata però mi assicura che farlo per via telematica, in realtà, è il sistema più sicuro e più veloce per cui ho fatto bene. Sarà, penso io, ma è la prima volta in diversi anni che succede che non trovino la mia cartella !!!!

Alla fine la prima impiegata mi dice di non preoccuparmi ( ancora ??? allora devo iniziare a preoccuparmi davvero!! ) e che a minuti la commissione mi riceverà. In effetti l’impiegata è di parola e dopo 5 minuti nemmeno compare il mio numero di coda sulla riga di chi deve presentarsi alla commissione. Mi appresto alla porta, faccio la persona educata e busso e come mi aspetto la banda cafoni, come chiamo io quelli della commissione patenti, non si degna di rispondere. Non ho voglia di perdere altro tempo, per cui entro pur non ricevendo alcun cenno dall’interno della stanza. Appena entro mi rendo conto che la commissione è diversa dalla solita con cui mi son confrontato sino ad ora, ma ci sta: di solito mi hanno sempre fissato gli appuntamenti intorno le 14, oggi invece era alle 9, magari di mattino c’è una commissione diversa. Unica costante il presidente della commissione: sempre la stesa minuta, insignificante ed antipatica dottoressa.

Un tizio, che poi dedurrò essere un neurologo, mi fa fare un ridicolo test facendomi fare su e giù con il piede tenendo il tallone a terra, per capirci il movimento che si fa quando si accelera o decelera guidando, e tronfio esclama, con la saggezza dei sui scarsi 50 anni e il responso di quel complicatissimo esame:” la mobilità non v’è dubbio che c’è!!” e torna al suo posto: mazza quanto ha lavorato questo stamane, penso io !!

Oltre a quello mi fanno fare l’altro ridicolo esame della vista, dopo avermi chiesto se ci vedo, forse il bastone grigio l’ha messo in difficoltà: non essendo bianco del tutto non era certo che fossi un non vedente!!! Poi iniziano a discutere, al solito facendoti sentire una merda invisibile, su questo e quello e chiedono spiegazioni sul perché non ho prodotto un determinato modello governativo. Sento le scintille che iniziano a salire lungo la spina dorsale e raggiungere il cervelletto: se non tengo il controllo della situazione tra un po’ inizieranno a volare scrivanie e sedie qui dentro!!!

Accenno al fatto che la convocazione parlava di un vago documento che non era chiaro se sarebbe stato prodotto dopo una visita in loco o se dovessi intenderlo come un  ordine di provvedere per conto mio. Al che mi ammutolisco e mi isolo: se le scintille raggiungono il cervello superando il cervelletto qui dentro finisce male: ne sono più che certo!!

“Bene, vada ed attenda di la: la chiameranno e le daranno un documento.”; scoprirò poi che, in realtà, avrebbero dovuto dirmi che mi sospendevano la patente sino ottenimento di quel documento a seguito di una visita da un neurologo, sia mai, visto che un neurologo era presente in commissione, la visita la facesse lui vero !!!. Sai, dopo che l’ultima crisi epilettica che ho avuto risale a 40 anni fa, ci vuole un pezzo di carta di un neurologo che non sa chi diavolo io sia, per confermare che sono guarito dall’epilessia giovanile.

Devo proprio incominciare a fare l’italiano medio e non dire più nulla sul mio passato medico: se avessi seguito questa filosofia non sarei qui da 5 anni ad elemosinare il rinnovo della patente, anno per anno.

Comunque alla fine la situazione è questa: patente sospesa, sino a che non avrò fatto la visita da un neurologo che dovrà emettere una vatte la pesca di  documento ministeriale. Ottenuto quel pezzo di carta devo contattare di nuovo la banda cafoni, si si la commissione medica patenti, per organizzare altro incontro per concludere l’iter della commissione, e sperare che questo significhi che mi rinnovino la patente per altri 365 miseri giorni.

Il mio medico curante cerca di venirmi incontro fornendomi una richiesta con urgenza entro i 10gg per riuscire a fare questa visita in fretta e tornare ad avere la mia patente, peccato che al CUP, una, devo dire molto gentile impiegata, mi spiega che per disposizioni ministeriali nessuna visita che sia correlata ad una patente o rinnovo di quest’ultima può essere richiesta in condizione di urgenza. Per cui o aspetti i soliti X mesi per la visita o te la fai da privato e paghi di tasca tua se la rivuoi in fretta sta c***o di patente!!!!

Credevo che questo paese non potesse diventare peggio di quanto ormai avevo capito fosse, ma è proprio vero che al peggiorare non c’è mai fine !!!

JC

Disabilitare IpV6 su macchine Debian e derivate.

Ho sempre più frequente la richiesta da parte di conoscenti ed amici di spiegare la procedura per disattivare il protocollo IpV6 sulle proprie macchine. I motivi sono i più disparati, da spamassassin che fa i capricci con spamd perché vede il protocollo attivo ma non configurato, a programmi che proprio non gestiscono il protocollo. Allora per non stare a rispiegare ogni volta come fare creo questo post così almeno chiunque potrà leggerlo e provvedere in proprio.

Fondamentalmente questa è la procedura per le macchine Debian e tutte le sue derivate, tra le più note: Ubuntu, LinuxMint etc etc.

Ci sono due modi, io di solito consiglio la prima, perché la più pulita.

Primo Metodo

Editiamo il file di configurazione di default di grub con il nostro editor abituale:

sudo vi /etc/default/grub

e cerchiamo la variabile GRUB_CMDLINE_LINUX. Di solito questa variabile è settata a zero in questo modo GRUB_CMDLINE_LINUX=’’ Modifichiamo il contenuto di questa variabile in questo modo: GRUB_CMDLINE_LINUX=’ipv6.disable=1’. Se la variabile dovesse contenere altre info non facciamo che accodare ipv6.disable=1 al contenuto già esistente dividendolo dal contento precedente con uno spazio. Salviamo il file e non scordiamoci di eseguire

sudo update-grub2

per rendere effettiva la modifica. Al prossimo riavvio il protocollo IpV6 non sarà più operativo.

Secondo Metodo

Questo secondo metodo è utile se serve disabilitare il protocollo IpV6 senza la necessità di dover riavviare il server.

Editiamo il file /etc/sysctl.conf con il nostro editor preferito:

sudo vi /etc/sysctl.conf

e, se non presenti, aggiungiamo queste righe in fondo al file:

# IPv6 disabled
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

Nel caso le variabili fossero già presenti con un valore assegnato a zero modifichiamo affinché abbiano tute e tre valore 1

Salvate il file ed uscite. A questo punto per rendere effettiva la modifica senza riavviare il server date il seguente comando:

sudo sysctl -p

Per essere certi che la modifica sia andata a buon fine eseguite un comando ifconfig e verificate che non sia presente nessuna definizione inet6 e/o indirizzo nel formato IpV6.

Qui potete vedere un esempio di definizione con IpV6 attivo:

eth0 Link encap:Ethernet HWaddr 00:1c:c0:f8:79:ee

inet addr:192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0

inet6 addr: fe80::21c:c0ff:fef8:79ee/64 Scope:Link

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

Qui stessa definizione ma dopo aver eseguito il secondo metodo:

eth0 Link encap:Ethernet HWaddr 08:00:27:5f:28:8b

inet addr:192.168.1.3 Bcast:192.168.1.255 Mask:255.255.255.0

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:1346 errors:0 dropped:0 overruns:0 frame:0

TX packets:965 errors:0 dropped:0 overruns:0 carrier:0

Come potete vedere nel secondo ifconfig è sparita la definizione di inet6 ed il reativo indirizzo IpV6

Buon lavoro.

JC

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Condividi allo stesso modo 4.0 Internazionale.

Considerazioni sui cani ed il parco Young di via Nino Bixio.

Mi è gia successo un paio di volte, nel pomeriggio, di portare il cane nell’area cani dedicata, nel nuovo parco Young, e di imbattermi nella stessa situazione: nell’area cani ci trovo due cani senza alcuno con loro, che abbaiano disperati perché viene loro impedito, da una barriera di legno, di raggiungere i loto ‘amati’ conduttori. Uso il termine conduttore perché il senso della parola ‘padrone’ riferito ad un animale mi fa venire il prurito alle mani !!

Allora, non solo i cani sono li abbandonati a loro stessi, ma lo sono con i propri ‘padroni’ a 50metri di distanza che giocano bellamente a calcio sul campo adibito. Già io sopporto poco il calcio, ma vedere quelle due povere bestiole abbandonate a loro stesse in una recinzione, a cui non sono evidentemente abituati con i loro padroni che apparentemente non fanno caso al disagio delle bestiole, perché continuano a giocare, lanciando urli in direzione dei cani affinché la smettano di abbaiare. Dio che fastidio!! Perché non gli tagliamo le corde vocali visto che ci siamo ?!?!?!?

Ahhh no non è vero che non sanno del disagio dei loro cani, perché laddove le povere bestiole scavano per crearsi un varco per poter raggiungere i loro amati conduttori, uno di loro ha ben pensato di piazzare una mattonella cosi il cane non possa scappare nemmeno scavandosi una via di fuga.

E non bastasse, quando raggiungo i giocatori chiedendo cortesemente di recuperare i loro cani per darmi il tempo di farmi entrare con la mia e fargli fare le sue cose, alla domanda “scusate ragazzi, di chi sono i cani” si guardano tutti in faccia l’un l’altro come a dire ” Ahh non saprei non è mio”.

Solo il mio cipiglio e la chiara intenzione di non andarmene finché qualcuno non mi desse risposta ha fatto saltare fuori di due conduttori dei cani che, ammetto scusandosi, vanno a prendere i loro cani, aspettando che io termini con la mia, per poter rinchiudere nuovamente le povere bestiole di nuovo nel recinto e lasciarle li !!!

Nota… le bestiole in questione, mentre io entro nell’area cani con la mia, vengono tenute A MANO per il collare, segno che i ragazzi non hanno dei guinzagli; questo mi fa dedurre che la cosa sia stata programmata e non successa per caso.

La prossima volta che devo fare? Fare un video ? Chiamare i vigili ? Chiamare la protezione animali ?

Io credo che la prossima volta, se succederà ancora, semplicemente aprirò il cancello di legno dell’area cani e li lascerò uscire: e si arrangino i loro conduttori a recuperarli.

Ma dico io !! Se sai che stai andando a giocare una partita, ed il fatto che tutti fossero in gran tenuta con le magliette delle rispettive squadre del cuore e pantaloncini corti dimostra che la partita era organizzata, che diamine ti porti i cani dietro a fare: lasciali a casa a questo punto; almeno non soffriranno a dover stare rinchiusi in un posto che non conoscono con una barriera che impedisce loro di raggiungere i rispettivi conduttori che nonostante il trattamento che gli riservano amano incondizionatamente !!

Ragazzi; un cane NON È un giocattolo!!! È un essere vivente direi piuttosto senziente anche se non è stata mai dimostrata la loro capacita di riconoscere se stessi. Non sono oggetti da portare e piazzare da qualche parte lasciandoli li finché non ce ne ricordiamo e li andiamo a riprendere, o peggio ancora con cui arrabbiarsi perché continuano a piangere ed abbaiare perché non riescono a raggiungere i loro conduttori.

Avete (a naso guardandovi) 20 / 25 anni VERGOGNATEVI a trattare un cane in quel modo !!

Pulire pubblicità, pop-up, banner e qauant’altro dalla navigazione web su cellulari, tablet e qualsiasi apparato mobile senza usare programmi aggiuntivi

Esiste una soluzione alternativa che richiede un minimo di lavoro e che, sopratutto, ci garantisce che i dati non passino da chissà quali server, facendo non sappiamo cosa sui nostri dati. Questa soluzione si chiama Privoxy.

Come riportato da quluqnue fonte, compresa quella tradizionale del wiki, Privoxy è un programma che provvede alla pulizia sul traffico analizzato delle pubblicità in genere. Ma fa anche molto altro, come si può vedere dalla pagina Wiki italiana, https://it.wikipedia.org/wiki/Privoxy oppure quella inglese qui https://en.wikipedia.org/wiki/Privoxy.

Veniamo alla nostra soluzione personale. Parto dall’idea che abbiate a casa una macchina con linux installato, che sia fisica o virtualizzata poco importa, oppure che abbiate una macchina su internet: il procedimento è il medesimo. 

Innanzi tutto installiamo il programma Privoxy o dal gestore applicazioni che usiamo di solito o dal terminale, che preferisco perché dovremo comunque mettere le mani sul file di configurazione, con:

sudo apt-get install privoxy

Finita l’installazione, l’unica cosa che vi consiglio caldamente di fare e di cambiare la porta utilizzata dal programma, che di default e la 8118. sempre dal terminale apriamo, per modificalo, il file /etc/privoxy/config  con

sudo nano /etc/privoxy/config

In questo caso ho indicato come editor il programma nano, ma potete usare quello che vi pare, che sia nano o vi poco importa: l’importante è poter modificare la porta.

Cerchiamo la riga contenente la definizione della porta: la stringa da cercare è listen-address una volta trovata sostituire il valore 8118 con un altra porta che sia libera; personalmente consiglio porte molto alte così da evitare che certi smanettoni la trovino. Un’idea può essere una porta tra 50000 e 55000 per esempio userò 52715. Quindi a modifica effettuata avremo una riga come questa:

listen-address :52715

Chiudiamo, salvando il file, il programma; nel caso di nano si fa premendo la combinazione CTRL-X; e riavviamo il programma con il comando:

sudo service privoxy restart

A questo punto abbiamo terminato sulla macchina lunux. Dobbiamo fare ancora due cose:

  1. configurare il nostro router affinché accetti in entrata il traffico sulla porta 52715 verso l’indirizzo ip della nostra macchina che esegue Privoxy.
  2. configurare il nostro cellulare, tablet o anche pc se vogliamo affinché dirotti il le chiamate del traffico http/https verso il nostro Privoxy.

Pe quanto riguarda il punto uno, dipende dal router che avete: non posso darvi le istruzioni per tutti i modelli; posso solo dirvi che dovete creare una regola che accetti in entrata il traffico dalla porta 52715 e lo indirizzi verso la stessa porta della vostra macchina linux.

Per il punto due ci sono, in linea di massima, due categorie di configurazioni possibili: quelle per iOS, per capirci iPhone, iPad etc etc, e quelle per Android.

Per iOS:

  • Aprite impostazioni
  • tappate su WiFi
  • Presumendo che siate già connessi ad una vostra rete domestica, tappate sulla cerchiata a destra del nome della wifi attualmente collegata
  • scendete in basso alla sezione appena aperta ed alla voce PROXY HTTP tappate su Manuale
  • Alla voce Server indicate l’indirizzo IP della vostra macchina linux, oppure l’indirizzo pubblico del vostro router. 
  • Alla voce Porta indicate la porta che avere configurato prima ossia la 52715

Per Android:

  • Aprite Impostazioni
  • Tappate su WiFi
  • Tappate, mantenendo la pressione per più di un secondi sulla wifi che avete già agganciato: comparirà un menu a due voci e tappate su Modifica config. di rete
  • Tappate su Mostra opzioni avanzate
  • Alla voce Impostazioni proxy selezionate Manuale
  • Alla voce Nome host proxy inserite l’indirizzo IP della macchina linux oppure il vostro IP pubblico
  • Alla voce Porta inseriamo la porta configurata, nel nostro caso la 52715
  • Tappate su Salva in basso a destra del pannello

Fatto: a questo punto, quando navigherete tramite Safari o il browser che avere installato e preferite, il traffico verrà filtrato da Privoxy eliminando pubblicità pop-up, banner e quant’altro.

Nota: quanto segue vale solo se avete installato un firewall sulla vostra macchina linux. A seconda delle vostre esigenze dovete decidere se nelle configurazioni usare l’IP locale, quello della vostra macchina linux domestica, o il vostro IP pubblico, ossia quello che vi viene assegnato dal vostro provider; (Per avere il vostro indirizzo pubblico andate con un browser a questo indirizzo).

Nel caso abbiate un IP pubblico dinamico, per esempio avete un contratto non aziendale con Vodafone o Fastweb, nasce il problema di come segnalare al vostro firewall quale è l’IP valido come vostro in uso. Allego un piccolo script per risolvere il problema, preso da questa pagina in rete.

Innanzi tutto dovete ufw, uno script che semplifica molto la vita se usare un firewall. Per installarlo ed eseguirlo eseguite il comando 

sudo apt-get install ufw

sudo ufw enable

Poi dovete avere un account tipo dyndns.com oppure no-ip.com che vi tenga aggiornato il collegamento host personale <-> IP pubblico. Do per scontato che lo avete già. Come esempio diciamo che il vostro ip personale sia mioip.no-ip.com e che sappiate come tenerlo aggiornato.

Create un file che chiamerete ufw-dynamic-host-update  nella cartella /usr/local/sbin e incollateci questo contenuto pari pari, senza modificare nulla:

#!/bin/bash

HOSTS_ALLOW=/etc/ufw-dynamic-hosts.allow
IPS_ALLOW=/var/tmp/ufw-dynamic-ips.allow

add_rule() {
  local proto=$1
  local port=$2
  local ip=$3
  local regex="${port}\/${proto}.*ALLOW.*IN.*${ip}"
  local rule=$(ufw status numbered | grep $regex)
  if [ -z "$rule" ]; then
      ufw allow proto ${proto} from ${ip} to any port ${port}
  else
      echo "rule already exists. nothing to do."
  fi
}

delete_rule() {
  local proto=$1
  local port=$2
  local ip=$3
  local regex="${port}\/${proto}.*ALLOW.*IN.*${ip}"
  local rule=$(ufw status numbered | grep $regex)
  if [ -n "$rule" ]; then
      ufw delete allow proto ${proto} from ${ip} to any port ${port}
  else
      echo "rule does not exist. nothing to do."
  fi
}

sed '/^[[:space:]]*$/d' ${HOSTS_ALLOW} | sed '/^[[:space:]]*#/d' | while read line
do
    proto=$(echo ${line} | cut -d: -f1)
    port=$(echo ${line} | cut -d: -f2)
    host=$(echo ${line} | cut -d: -f3)

    if [ -f ${IPS_ALLOW} ]; then
      old_ip=$(cat ${IPS_ALLOW} | grep ${host} | cut -d: -f2)
    fi

    ip=$(dig +short $host | tail -n 1)

    if [ -z ${ip} ]; then
        if [ -n "${old_ip}" ]; then
            delete_rule $proto $port $old_ip
        fi
        echo "Failed to resolve the ip address of ${host}." 1>&2
        exit 1
    fi

    if [ -n "${old_ip}" ]; then
        if [ ${ip} != ${old_ip} ]; then
            delete_rule $proto $port $old_ip
        fi
    fi
    add_rule $proto $port $ip
    if [ -f ${IPS_ALLOW} ]; then
      sed -i.bak /^${host}*/d ${IPS_ALLOW}
    fi
    echo "${host}:${ip}" >> ${IPS_ALLOW}
done

Salvatelo e rendetelo eseguibile con il comando: 

sudo chmod u+x /usr/local/sbin/ufw-dynamic-host-update

a questo punto dovete creare un file di configurazione per questo script con il comando:

sudo nano /etc/ufw-dynamic-hosts.allow

il nome è di fantasia, ma almeno leggendolo capirete cos’è. Ora: considerando l’esempio del vostro host personale, che abbiamo detto è mioip.no-ip.com e la porta che abbiamo configurato, ossia la 52715 nel file appena creato di configurazione dovremo scrivere questo:

tcp:52715:mioip.no-ip.com

e salvarlo. Affinchè la regola del firewall resti aggiornata dobbiamo eseguire periodicamente lo script che vi ho riportato sopra e per farlo usiamo il demone cron. Affinché cron controlli ogni 5 minuti che l’IP pubblico corrisponda al nostro host, lanciamo il comando 

sudo crontab -e 

ed aggiungiamo la seguente riga:

*/5 * * * * /usr/local/sbin/ufw-dynamic-host-update > /dev/null

Confermiamo ed usciamo: a questo punto il demone cron si occuperà, ogni 5 minuti di verificare se la regola del firewall è allineata al vostro IP pubblico.

RIBADISCO: questa ultima parte è necessaria solo se:

    1. volete poter raggiungere Privoxy anche da fuori casa
    2. avete un IP pubblico dinamico

Se avete un IP pubblico statico allora basta creare la regola con il comando sudo ufw allow proto tcp from mioip.no-ip.com to any port 52715 ed il problema è risolto senza necessità di disturbare cron ne creare script vari.

Ultima nota: la soluzione che ho riportato vale per una macchina linux, gli esempi in specifico sono per macchine Ubuntu, ma è possibile installare Privoxy anche su Windows: qui trovate le relative istruzioni. Non so però, sotto windows, come risolvere il probelma dell’uso di un IP pubblico dinamico attraverso il firewall di Windows. Magari qualcuno lo sa e può postare la soluzione.

JC
 

ownCloud and NextCloud : maximum file upload size limit (EN version)

After installing and testing this cloud service on a server of mine on internet, I find a noisy problem: when I try uploading a file bigger than 512Mb the cloud service stop uploading.
Considering that a lot of people uses cloud services as backup for pics and videos, I found out this limit really frustating.

I have not found the way to change this limit via web interface, so I do it via console, on the server where ownCloud was installed.

As first thing I verified limits set up in /etc/php5/apach2/php.ini:

1.    upload_max_filesize should be set more than default 512mb: I set to 1024M
2.    post_max_size should be set more than default 512mb: I set to 1024M
3.    upload_tmp_dir must point to a valid read/write access directory: I set to /tmp

Once done, I reloaded apache2 config files, as usual, with service apache2 reload, but the change to upload_max_filesize seems have no effect and ownCloud still refuse to load file bigger than 512mb

So I gave a look to the ownCloud specific .htaccess file, you find it in the root of the owncloud installation dir, on ubuntu system it is at /var/www/owncloud/.htaccess.
You must edit the line php_value upload_max_filesize 512M to the value you set in apache php.ini or smaller. I set both to 1024M and not to 1G couse I found no info on notation usable in the ownCloud documentation. So I kept the original notation.

At https://secure.php.net/manual/en/ini.core.php#ini.post-max-size found info about size notation:

PHP allows shortcuts for byte values, including K (kilo), M (mega) and G (giga). PHP will do the conversions automatically if you use any of these. Be careful not to exceed the 32 bit signed integer limit (if you’re using 32bit versions) as it will cause your script to fail.

The last problem is that after the modification, in the webclient the uploadable maximum size reported was still 512Mb.

On truth it was false, couse I already uploaded files larger than  512Mb after the modification I reported above.
In any case to solve this problem, again edit .htaccess file on the line php_value post_max_size to the corresponding upload_max_filesize value. Once done also this problem is solved.

Hope this can help anyone who finds 512Mb too small as upload limit.

Perché evitare ARUBA per la gestione DNS.

É un peccato, ma mio malgrado, mi vedo costretto a scrivere questo post, per evitare ad altri di dover incappare nello stesso tipo di problema in cui sono capitato io.
SITUAZIONE: Avete il vostro cliente che vi chiede di installargli un server di posta, con tutti i soliti crismi, affinché l’azienda possa affrancarsi dal loro precedente gestore di posta, che li sta, al solito, derubando. Le considerazioni sui costi imposti dalle altre aziende per servizi di posta in locazione le lascio ad un altro post.
Voi fate tutto il vostro lavoro:
  1. configurate ed installate il vostro hw
  2. installate e configurate il vostro software
  3. testate se a livello locale funziona tutto.

A questo punto vi occupate della visibilità del server su internet e dovrete, per forza di cosa, mettere anche le mani sui record DNS affinché il server sia visibile ed operativo si internet.

Create i soliti  domini tipo imap.dominio.it, smtp.dominio.it facendoli puntare all’IP giusto, e tra le cose primarie da fare per un server di posta, dovete configurare i rispettivi record SPF e DKIM; e qui cominciano i guai.

Se avete la gestione del dominio sotto ARUBA, vi accorgerete subito che qualcosa non torna: accedendo al tipo record TXT dal pannello di gestione del DNS, avrete una schermata come questa:
Non notate nulla di strano? Finché dovete registrare il campo SPF no, è fatto apposta, ma quando devo registrare il campo DKIM ???? Semplicemente, con ARUBA, non lo potete fare.
Per qualche strano, ma sopratutto oscuro, motivo ARUBA ha deciso che l’unico utilizzo che il suo cliente può fare del campo TXT è l’inserimento dei valori per tipo campo SPF.
Li ho contattati, credendo in un problema del form, ma no: è proprio così; hanno deciso che il cliente ARUBA può solo inserire quello che vogliono loro, ossia il campo SPF, ma altri record di tipo TXT, e ce ne sono parecchi che uno potrebbe aver necessità di inserire oltre al tipo DKIM, se lo scordano.
La loro soluzione al problema? “Acquisti una machina virtuale così da potersi gestire il server DNS come meglio preferisce“, e chiaramente mi rifilano il link dei loro server virtuali.
Ma ti pare che uno per inserire un campo fondamentale in un server di posta, deve impiantarsi un server DNS proprio ?????
Questi secondo me, in questo caso, l’hanno fatta fuori dal vaso!!!
Per cui: tenete a mente che se dovete utilizzare per qualsivoglia motivo un record TXT nella gestione DNS che non sia il record SPF, lasciate perdere ARUBA.
JC

Problemi di accesso dopo l’aggiornamento di Firefox

Adesso Firefox sta esagerando: nella sua politica di pulizia negli accessi, vedi questo articolo in merito, ha nell’ultimo aggiornamento, innalzato dei limiti di sicurezza sui certificati letti dal protocollo HTTPS. Ok vuoi proteggermi, ma vuoi anche darmi la possibilità di tornare indietro se mi serve? Con l’ultima modifica ha configurato un certo numero di voci nelle configurazioni avanzate, per cui molti server che prima raggiungevate adesso vi danno questo errore:
Contrariamente al solito, non c’è alcun pulsante per ammettere una eccezione a questo tipo di blocco, che non sto a spiegare cosa sia, se siete curiosi fate una ricerca in google con la chiave “Error code: ssl_error_weak_server_ephemeral_dh_key” e troverete tutte le spiegazioni del caso.
Questo blocco, della serie o così o pomì sta nella scia della politica che Firefox ha deciso che il protocollo  HTTP, ed HTTPS per alcune configurazioni, che non piace a loro non deve più essere usato. 
Non sto a commentare l’atteggiamento fascista nella decisione, ma già questo tipo di blocco sicuramente porterà ad una iniziale migrazione da FireFox verso altro: dovrebbero capirlo da soli che imporre qualcosa all’internauta è sempre sconsigliabile.
In ogni caso, per risolvere questo problema dovete andare nelle configurazioni avanzate, quelle a cui si accede dando nel campo indirizzo dove di solito ci va http://indirizzo.com e ci scrivete about:config e date invio; confermate che sapete che state facendo e mettete nel campo ricerca la stringa “security.ssl3.dhe_rsa“; vi verranno restituiti una serie di record settati a false come potete vedere qui sotto:
Ora, il record che vi blocca può essere uno qualsiasi di quelli elencati. Per esempio se tentate di andare, dopo l’aggiornamento, alla webchat di mibbit all’indirizzo https://char.mibbit.com il record che vi blocca è il 3°. Chiaramente potete disabilitare solo quello e poi tornare qui quando vi ricapiterà, oppure abilitarli tutti subito. Se volete abilitare solo la voce interessata nel caso in questione allora fate doppio click su false e fatelo diventare true. Otterrete questo risultato:
Se invece non volete dover incrociare di nuovo il blocco senza possibilità di generare una eccezione allora configurateli tutti a true e morta li !!!
Ripeto questo problema sarà solo il primo, se FireFox continuerà sulla strada di voler imporre la propria idea che in rete si deve transitare solo via HTTPS ed alle loro condizioni. 
Per la maggior parte dei casi basta cambiare browser, ma nei casi di applicazioni che includono il browser come parte integrata dell’app stessa, tipo TorBrowser la vedo mooooooolto male !!!!
Non che non esista una soluzione al problema, ma resta il fatto che in un mondo che definiscono open, pretendere di imporre una loro visione del modo in cui, noi utilizzatori, dobbiamo accedere alla rete mi ricorda molto M$ come modo di fare: e non mi piace proprio per nulla !!!
Saluti
JC

Utilizzo di TOR su IP diverso dal primario.

Al giorno d’oggi, può capitare sempre più spesso di aver a disposizione  una connessione con un set di indirizzi pubblici. Che siano quattro o sette, resta il problema, spesso, di come poterli usare se abbiamo una macchina sola. Oggi vi farò vedere come utilizzare un server TOR che utilizzi un indirizzo IP che non sia il primario della macchina. Sto parlando di un ambiente *nux, ma credo che in qualche modo sia possibile anche in windows, ma personalmente non metterei mai alcun tipo di server su una macchina windows, quindi non starò nemmeno a perdere tempo ad immaginare come farlo. 
 
Prendiamo in esempio una situazione: avete la vostra macchina linux che usate come desktop o come server, non importa, e desiderate utilizzare TOR come servuer, indipendentemente se come hidden_service o come relay; quello che non volete è incappare in una situazione come quella riportata in altro post che ho scritto tempo fa a riguarda dell’uso di TOR e l’aver come home banking il servizi di Unicredit. Il post lo trovate qui: http://bulk.jcsh.eu/?p=103 e si intitolava, guarda caso:”Ad Unicredit Web non piace TOR”. 
 
Avendo più indirizzi IP a disposizione il problema è risolvibile, perché quelli di TOR hanno previsto una situazione simile: basteranno un paio di modifiche al file di configurazione torrc ed il gioco sarà fatto. Capiamoci: non sto parlando di una situazione con due schede di rete con due cavi fisici appartenenti a due IP diversi, ma della situazione, ben più comune, per cui abbiamo un cavo ed n IP disponibili. Vale la pena di definire il quadro in cui ci stiamo muovendo: abbiamo una scheda di rete fisica ed, facciamo un esempio, 4 IP pubblici  disponibili.
 
Innanzi tutto dobbiamo sapere che nome logico ha la nostra scheda di rete; ci son diversi modi, ma quello più rapido è aprire la console (da cui faremo tutto) e dare il comando ifconfig. Avremo come risultato qualcosa del genere:

eth0      Link encap:Ethernet  IndirizzoHW 00:0e:a6:ba:ec:80

indirizzo inet:192.168.1.130  Bcast:192.168.1.255  Maschera:255.255.255.0          

indirizzo inet6: fe80::20e:a6ff:feba:ec80/64 Scope:Link          

UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1          

RX packets:24277872 errors:0 dropped:216 overruns:0 frame:0          

TX packets:12679995 errors:0 dropped:0 overruns:0 carrier:0

Byte RX:772240782 (772.2 MB)  Byte TX:1004742354 (1.0 GB)         Interrupt:18lo       

Link encap:Loopback locale           

indirizzo inet:127.0.0.1  Maschera:255.0.0.0          

indirizzo inet6: ::1/128 Scope:Host          

UP LOOPBACK RUNNING  MTU:65536  Metric:1          

RX packets:14854 errors:0 dropped:0 overruns:0 frame:0          

TX packets:14854 errors:0 dropped:0 overruns:0 carrier:0         

Byte RX:1533885 (1.5 MB)  Byte   TX:1533885 (1.5 MB)


La voce eth definisce il nome logico della nostra scheda di rete; lo 0 un contatore che parte da zero e che indica quale sia la scheda di rete se ne abbiamo diverse; aveste sulla vostra macchina due schede di rete, trovereste elencata anche una scheda eth1 e così via. Attenzione, aveste anche cinque schede di rete, ma un solo cavo che vi arriva da internet, il metodo resta sempre questo perché non potete collegare un IP virtuale su una scheda fisica: la scheda fisica o c’è o non c’è!! Nel nostro esempio faremo il caso di avere disponibili gli IP pubblici da 155.100.100.1 al 155.100.100.Quindi cominciamo:

  1. Considerando che sicuramente avete assegnato 155.100.100.1 come indirizzo della scheda fisica, assegnamo il 155.100.100.4 ad una scheda virtuale, che chiameremo eth0:1 quindi nel terminale diamo il comando:  sudo ifconfig eth0:1 155.100.100.4 up
  2. installiamo il necessario per avviare il server TOR sulla nostra macchina, uso i domando apt-get perché i sistemi debian based sono quelli più installati. Quindi eseguiamo, sempre nella nostra shell, sudo apt-get install tor tor-geoipdb torsocks. Questi sono i tre componenti base necessari.
  3. Fermiamo il server TOR, perché ancora non è configurato come ci serve, e quindi diamo il comando sudo service tor stop
  4. Apriamo con l’editor di testo che preferiamo, io uso VI, ma NANO come altri vanno altrettanto bene, il file di configurazione di TOR quindi se usiamo VI diamo il comando sudo vi /etc/tor/torrc
  5. Alla riga 103 togliamo il commento e modifichiamola affinché risulti così: OutboundBindAddress 155.100.100.4 
  6. appena sotto questa riga ne inseriamo una nuova ed aggiungiamo: Address 155.100.100.4
  7. usciamo dal nostro editor confermando la modifica e rilanciamo il servizio che avevamo fermato al punto 3, con il comando sudo service tor start
  8. diamo un comando di lettura del file di configurazione ossia sudo tail -f /var/log/tar

Vedrete diverse cose scorrere sullo schermo, ma quello che deve esserci, affinché possiamo essere certi che TOR stia usando l’IP che diciamo noi, è la seguente riga:

[notice] Now checking whether ORPort 155.100.100.4:9001 and DirPort 155.100.100.4:9030 are reachable… (this may take up to 20 minutes — look for log messages indicating success)[notice] Self-testing indicates your DirPort is reachable from the outside. Excellent. May 10 14:32:13.000 [notice] Self-testing indicates your ORPort is reachable from the outside. Excellent. Publishing server descriptor.

A questo punto soltanto, potrete essere certi che TOR stia usando un IP diverso da quello definito per la scheda primaria del sistema della vostra macchina, ed è quello che volevamo.

Buon divertimento. 

P.S: Direte voi: ma è pieno di documenti su come usare OutboundBindAddress: perché scriverci un post. Semplice: perché tanto è vero che è pieno di documenti in google che spiega come usare OutboundBindAddress quanto non se ne trova uno che spieghi che se oltre a OutboundBindAddress non configurate anche la variabile Address corca che funziona !! 🙂

JC

Licenza Creative Commons
Questo articolo è rilasciato sotto una licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 2.5 Italia License.

Connessione automatica di apparato bluetooth all’avvio di un Linux Debian/Ubuntu based

Non capiterà a molti, ma può succedere di avere un mouse o una tavoletta di puntamento collegati via bluetooth al vostro sistema Ubuntu, o Linux bastato su Debian/Ubuntu in generale.

Come avrete sperimentato, si deve: avviare il demone bluetooth a mano e fargli riconoscere e fare il paring la prima volta con l’apparecchio.
La cosa noiosa, è che ad ogni riavvio del sistema si deve
  1. partire con un mouse usb collegato
  2. attivare la connessione dell’apparecchio bluetooth a mano tramite l’icona in basso a destra
  3. scollegare il mouse usb.
Beh questo non è del tutto vero: esiste, come quasi sempre, una soluzione per automatizzare la connessione del vostro apparato bluetooth all’avvio del sistema, ed ora vediamo come.
Innanzi tutto ci serve che sia installato il pacchetto bluez-compat:possiamoinstallarlo sia dal gestore pacchetti o più velocemente, secondo me, dalla console lanciando il solito comando sudo apt-get install bluez-compat.
Fatto questo dobbiamo conoscere l’indirizzo MAC(1)dell’apparecchio che ci interessa. Se abbiamo già collegato una volta l’apparecchio in questione possiamo ricavarlo direttamente dal gestore bluetooth: aprendolo troviamo le informazioni riguardante l’apparecchio con incluso il suo indirizzo MAC(1)tipo 28:37:37:2B:0E:26. Attenzione: a volte l’indirizzo MAC(1)viene proposto come 28-37-37-2B-0E-26. Fosse anche sostituite, nel prossimo passaggio il carattere (meno) con il carattere (due punti)ed andrà benissimo.
Se non riusciamo a trovarloin questo modo possiamo farlo usando il comando hidddalla console, eseguite:
hidd –search
Che vi darà una lista degli apparati bluetooth collegati almeno una volta al sistema. Se non lo trovate nemmeno li cercatelo tramite il comando dmesgsempre da console.
A questo punto dobbiamo modificare il file /etc/rc.localperché questo file si occupa di caricare quello che indichiamo durante il boot del sistema.
Il file, se non lo avete mai modificato si presenterà così:
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will “exit 0” on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
Exit 0
Come dice la riga, nel file stesso questo scritp, così com’è non fa nulla, ma modificandolo aggiungendo la riga :
hidd –server –connect 28:37:37:2B:0E:26
PRIMAdella riga finale che riporta Exit 0farà esattamente quello che ci serve, ossia attiverà il nostro apparecchio bluetooth automaticamente: questo eviterà la noiosa procedura del dover avviare il nostro Linux con un mouse usb collegato, collegare a mano il nostro apparato bluetooth ed infine scollegare il mouse usb. Dopo la nostramodifica il file /etc/rc.local apparirà così:
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will “exit 0” on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
hidd –server –connect 28:37:37:2B:0E:26
exit 0
Come vedete l’unica, ma sostanziale, differenza è la riga in cui viene chiamato il comando hidd –server –connect xx:xx:xx:xx:xx:xx.
NOTA: l’indirizzo MAC(1)che ho usato, 28:37:37:2B:0E:26, è chiaramente quello del mio apparato; voi dovrete usare quello che avete rilevato dal vostro sistema in quanto collegato al vostro apparato.
E questo è tutto: da questo momento al riavvio, se l’apparato bluetooth sarà acceso, il sistema lo riconoscerà e di conseguenza lo renderà attivo e disponibile. 
JC