social.gl-como.it

Duccit 2017

Se non lo sapevate, sapevatelo:

Edizione 2017 - DUCC-IT

16 talk in due giorni, con relatori dall'Italia e dal mondo. La Debian/Ubuntu Community Conference Italia 2017 (in breve DUCC-IT 2017) è la quinta edizione dell'evento annuale che riunisce le comunità italiane di Debian e Ubuntu ma anche e soprattutto tutte le realtà italiane attive nel Software Libero, allo scopo di scambiare conoscenze, discut...
@Gruppo Linux Como

Riprendiamoci linux!

[PATCH] MAINTAINERS: Drain the swamp

Email message (" [PATCH]MAINTAINERS: Drain the swamp") from Donald Drumpf

Sniffami la usb

Lo sapevate? Potete sniffare cosa passa su USB:

https://www.kernel.org/doc/Documentation/usb/usbmon.txt

Ma non solo si puo' usare wireshark:

https://wiki.wireshark.org/CaptureSetup/USB

Non mi serve (per ora), ma e' meglio saperlo ...

Sapevatelo anche voi!

@Gruppo Linux Como
Fabio Friendica
Interessante!


Friendica problem?

Ciao,

cari esperti di friendica, ho cambiato il mio avatar, nel mio profilo, vedo il mio nuovo avatar, ma quando posto, i post hanno il vecchio avatar. Dove sbaglio? (O dove sbaglia friendica?)

@Fabio @Gruppo Linux Como
Segnalo per completezza che andando a vedere questo post all'url http://social.gl-como.it/display/3e3ce0df145884ef30944c5362648570 io vedo l'avatar nuovo sulla colonna di sinistra, ma quello vecchio accanto al post.

https://www.crowdsupply.com/onchip/open-v/updates/open-true-random-number-generator

Open True Random Number Generator

The Open-V has the potential to greatly boost and democratize hardware security. As a concrete step toward realizing this potential, we’re happy to announce today that the Open-V will include, at no additional cost, a fully open, state-of-the-art, thermal noise-based true random number generator (TRNG) peripheral.

Impostami la data

Siete collegati alla vostra schedina preferita via seriale? La data e' sbagliata, ma non avete la rete collegata?

Non crederete ai vostri occhi, un mirabolante trucco per impostarla:

1) controllate di essere loggati sulla scheda, come root, e di avere un prompt della shell.
2) da un terminale del pc date questo comando:

echo "date -Iseconds --set $(date -Iseconds)" >/dev/ttyUSB0

Et voila!

Aggiungere una regola su Fail2ban

Fail2ban, di default su debian blocca temporaneamente gli ip da cui arrivano tentativi falliti di login su ssh. E se uno volesse aggiungere altro? Si puo' fare, vediamo come.

Nel mio caso volevo bloccare gli ip da cui arrivano scansioni su pagine potenzialmente vulnerabili su lighttpd. Primo passo creare un filtro:

/etc/fail2ban/filter.d/lighttpd-scan.conf


# Fail2Ban filter to match frequent scan from bot for lighttpd
#


[Definition]failregex = ^<HOST> .*GET /sqlitemanager/main.php
^<HOST> .*GET /script
^<HOST> .*GET /jenkins
^<HOST> .*GET /hudson
^<HOST> .*GET /login
^<HOST> .*GET /manager/html
^<HOST> .*GET /phpmyadmin
^<HOST> .*GET /phpMyAdmin
^<HOST> .*GET /mysql
^<HOST> .*GET /sql
^<HOST> .*GET /xmlrpc.php

ignoreregex =



Failregex contiene le regexp che devono essere cercate nel file di log, e che causeranno l'eventuale ban.

Per verificare se il filtro funziona:


root@scw-3a2c2d:/etc/fail2ban# fail2ban-regex /var/log/lighttpd/access.log /etc/fail2ban/filter.d/lighttpd-scan.conf

Running tests
=============

Use failregex filter file : lighttpd-scan, basedir: /etc/fail2ban
Use log file : /var/log/lighttpd/access.log
Use encoding : UTF-8


Results
=======

Failregex: 25 total
|- #) [# of hits] regular expression
| 1) [1]^<HOST> .*GET /sqlitemanager/main.php
| 2) [1]^<HOST> .*GET /script
| 3) [2]^<HOST> .*GET /jenkins
| 4) [2]^<HOST> .*GET /hudson
| 5) [1]^<HOST> .*GET /login
| 6) [2]^<HOST> .*GET /manager/html
| 7) [3]^<HOST> .*GET /phpmyadmin
| 8) [3]^<HOST> .*GET /phpMyAdmin
| 9) [3]^<HOST> .*GET /mysql
| 10) [4]^<HOST> .*GET /sql
| 11) [3]^<HOST> .*GET /xmlrpc.php
`-

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
| [83]Day(?P<_sep>[-/])MON(?P=_sep)Year[ :]?24hour:Minute:Second(?:\.Microseconds)?(?: Zone offset)?
`-

Lines: 83 lines, 0 ignored, 25 matched, 58 missed
[processed in 0.16 sec]




Ora che abbiamo visto che funziona possiamo abilitarlo, creando un altro file:

jail.d/lighttpd-scanbot.conf


[lighttpd-scan]
port = http,https
logpath = /var/log/lighttpd/access.log
enabled = true



Riavviare fail2ban, con "service fail2ban restart", e verificare che sia configurato correttamente con:


root@scw-3a2c2d:/etc/fail2ban# fail2ban-client status
Status
|- Number of jail: 2
`- Jail list: lighttpd-scan, sshd



Per maggiori informazioni, c'e' una comoda guida qui:

http://www.fail2ban.org/wiki/index.php/MANUAL_0_8

L'importante e' prima di fare esperimenti, avere un altro modo di accedere alla macchina, in caso ci si autobanni. A me non e' successo, ma meglio avere un piano B nel caso. ;-)

@Gruppo Linux Como


Downloadami il corso

Una serie di corsi gratuiti su coursera non saranno piu' disponibili a partire dal 30 giugno. Scaricateli prima che scompaiano!

https://medium.freecodecamp.com/the-day-472-free-online-courses-will-vanish-from-the-internet-3060bb4e9704#.4l46vxfwb

Ecco una cosa che tutti aspettavamo! Pungola un vicino di social!
Maestra! diego pungola i compagni!

iTunes ruba la tua musica...

... soprattutto se non si legge il contratto con attenzione.

vellumatlanta: Apple Stole My Music. No, Seriously. (jamespinkstone)

“The software is functioning as intended,” said Amber. “Wait,” I asked, “so it’s supposed to delete my personal files from my internal hard drive without asking my permission?” “Yes,” she replied. …

criptiamo tutte le pagine!

Non e' piu' in beta. Non ci sono piu' scuse per non avere il proprio sito in https:

https://letsencrypt.org/

Let's Encrypt - Free SSL/TLS Certificates

Let’s Encrypt is a free, automated, and open certificate authority brought to you by the Internet Security Research Group (ISRG). ISRG is a California public benefit corporation, and is recognized by the IRS as a tax-exempt organization under Section 501(c)(3) of the Internal Revenue Code. ISRG’s mission is to reduce financial, technological, and education barriers to secure communication over the Internet.


Upgrade all the servers

Nel caso non ne abbiate gia' sentito parlare:

https://drownattack.com/

DROWN Attack

DROWN is a serious vulnerability that affects HTTPS and other services that rely on SSL and TLS, some of the essential cryptographic protocols for Internet security. These protocols allow everyone on the Internet to browse the web, use email, shop online, and send instant messages without third-parties being able to read the communication. DROWN al...


Quindi se avete un server web da qualche parte, un bel upgrade potrebbe essere utile.

Friendika e i fusi orari

Ne approfitto per fare gli auguri a @Fabio ;-) . E intanto segnalo un possibile baco (o misconfigurazione). Sul promemoria dei compleanni vedo:

Compleanni questa settimana:
Fabio 11 PM Lunedì 29 Febbraio


[oggi]Non dovrebbe essere 00 AM Martedì 1 Marzo?

(e mi chiedo anche come si formatti il testo in Friendika... e perche' mi mette gli acapi dove non ci sono :-P)
Fabio Friendica
grazie per gli auguri :-)
I compleanni sono fuso-orario-adattati.

probabilmente o kirgroup.com o gl-como.it sono configurati con il timezone sbagliato...

Per chi, come me, si fosse chiesto cosa diavolo e' TrustZone dei processori ARM

http://genode.org/documentation/articles/trustzone

Genode - An Exploration of ARM TrustZone Technology

ARM TrustZone technology has been around for almost a decade. It was introduced at a time when the controversial discussion about trusted platform-modules (TPM) on x86 platforms was in full swing (TCPA, Palladium). Similar to how TPM chips were meant to magically make PCs "trustworthy", TrustZone aimed at establishing trust in ARM-based platforms. ...

Interesante....carino il pdfbigino... :)

Revisiting the Sony Rootkit, 10 years after


Revisiting the Sony Rootkit fiasco

Imagine someone buys a music CD in a store. They go home and put it into their computer to listen to it. Without their knowledge, a program is installed. This program secretly checks whether that person started a program to copy CDs, and if so, forces them to stop. It also slows down their computer and opens security holes which can be used by othe...

Perche' i processori intel di ultima generazione sono brutti e cattivi...

http://libreboot.org/faq/#intel

Answers to Frequently Asked Questions about libreboot

It is extremely unlikely that any post-2008 Intel hardware will ever be supported in libreboot, due to severe security and freedom issues; so severe, that the libreboot project recommends avoiding all modern Intel hardware.


Ok, in realta' e' il chipset. Ma visto che le cpu intel ora lavorano solo con i chipset intel, e' praticamente la stessa cosa.
3 commenti mostra di più
@Alberto non è che ARM sia proprio proprio tutta rose e fiori da questo punto di vista

OpenRISC / LowRISC forever?
Beh...sicuramente ARM è messo meglio...no bios...e dimmi se è poco....😃
nuovi vecchi