Re: Disco per un piccolo server
Piviul writes: > Il 10/08/21 15:56, Leandro Noferini ha scritto: [...] >> Per evitare problemi di saturazione di una partizione che poi blocca il resto >> dei servizi volevo mettere un po' di partizioni sul nuovo disco da 1TB però >> volevo una soluzione per quanto possibile flessibile e io ero rimasto a lvm2: >> c'è qualcosa di più nuovo e migliore? > se non metti in discussione il filesystem (ext4 immagino) che io sappia direi > che LVM2 è più che attuale. Bah, io metto in discussione sempre tutto (assemblea!) ma da quel che leggo mi pare che con un computer come un raspberry rimanga la scelta più consona. Indicazioni di qualche guida semplificante per lvm2 ne avete? -- ciao leandro
Debian 11 e SELinux
Un saluto a tutta la lista. Ho installato su una macchina virtuale KVM Debian 11 (non ancora rilasciata) e ho attivato SELinux. Come riportato su https://wiki.debian.org/SELinux/Setup ho rimosso AppArmor e installato selinux-basics selinux-policy-default e auditd, ho lanciato selinux-activate e ho riavviato. Il sistema, giustamente, ha effettuato un relabel di tutto. Successivamente ho modificato la configurazione di SELinux da permissive a enforcing. Il problema è che non mi permette di loggarmi via ssh con utente normale dandomi come errore: /bin/bash: permission denied Ho usato SELinux su distro della famiglia RPM ma non sono esperto in quanto ho solo configurato dei contesti, qualche boolean e confinato qualche user e non riesco a capire come risolvere questo problema. Ho provato ad assegnare ad un utente il ruolo user_u con "usermod -Z user_u username" e riesco ad effettuare il login via ssh ma ho notato che lanciando "su -" non mi permette di leggere/scrivere file che sono soggetti ad altri contesti, come se l'utente root fosse confinato. Questa cosa non accade però se il login viene effettuato da console. Purtroppo la documentazione di Debian non mi è di alcun aiuto. In rete non sono riuscito a trovare granchè ma solo problemi relativi ad anni dimenticati Qualcuno ha qualche suggerimento? Grazie in anticipo.
Re: Debian 11 e SELinux
Il 11/08/21 13:48, Alessandro Baggi ha scritto: Un saluto a tutta la lista. Ho installato su una macchina virtuale KVM Debian 11 (non ancora rilasciata) e ho attivato SELinux. Come riportato su https://wiki.debian.org/SELinux/Setup ho rimosso AppArmor e installato selinux-basics selinux-policy-default e auditd, ho lanciato selinux-activate e ho riavviato. Il sistema, giustamente, ha effettuato un relabel di tutto. Successivamente ho modificato la configurazione di SELinux da permissive a enforcing. Il problema è che non mi permette di loggarmi via ssh con utente normale dandomi come errore: /bin/bash: permission denied Ho usato SELinux su distro della famiglia RPM ma non sono esperto in quanto ho solo configurato dei contesti, qualche boolean e confinato qualche user e non riesco a capire come risolvere questo problema. Ho provato ad assegnare ad un utente il ruolo user_u con "usermod -Z user_u username" e riesco ad effettuare il login via ssh ma ho notato che lanciando "su -" non mi permette di leggere/scrivere file che sono soggetti ad altri contesti, come se l'utente root fosse confinato. Questa cosa non accade però se il login viene effettuato da console. Purtroppo la documentazione di Debian non mi è di alcun aiuto. In rete non sono riuscito a trovare granchè ma solo problemi relativi ad anni dimenticati Qualcuno ha qualche suggerimento? Grazie in anticipo. Dopo aver spulciato qualche boolean di SELinux ho abilitato ssh_sysadm_login (impostato a on) e permette agli utenti non confinati di effettuare il login su ssh. Non capisco perche se effettuo il login da utente confinato se lancio id -Z ho: user_u:user_r:user_t:s0 e dopo "su - root" mantiene lo stesso contesto dell'utente semplice e non unconfined. Può essere che la transazione da un contesto user_t non puo essere effettuata verso unconfined?
debian e domotica
Salve a tutti, immagino che il topic sia stato già ampiamente affrontato ma non ho trovato niente di recente. Ho girato un po' di siti dedicati ma volevo chiedere se qualcuno di voi ha affrontato "praticamente" la questione. Ho comprato casa e, incredibilmente, è stata mia moglie a propormi questa cosa! Parto da 0, ma l'argomento mi incuriosisce quindi ogni consiglio è ben accetto. Domande in ordine sparso Google, Alexa, o posso evitare e orientarmi su qualcosa di più Linuxcentrico? Di che hardware/software ho realmente bisogno? Serverino, raspberry, arduino? Per le luci e tutto quello che si può attaccare ad una presa, che interruttore wifi consigliate? Stesso discorso per caldaia e termostati. E, visto che sono in mansarda, per le velux (per ora le controllo con telecomando, ma vorrei comunque controllarle "vocalmente")? E, riprendendo l'ultima domanda, oltre ai controlli vocali, vorrei gestire il tutto anche tramite app da tablet o telefono, devo per forza ritornare su bigG o bigBezos? Ovviamente vorrei evitare di scrivere codice per un'app: rischio di finire prima di pagare il mutuo Sicuramente non ho considerato tante cose quindi consigli, suggerimenti, link a risorse utili (ma utili davvero), è tutto ben accetto Grazie a tutti, se mi riesce siete invitati tutti a cena...cucina Alexa 😂 beppe
Re: Debian 11 e SELinux
Il 11/08/21 14:53, Alessandro Baggi ha scritto: Il 11/08/21 13:48, Alessandro Baggi ha scritto: Un saluto a tutta la lista. Ho installato su una macchina virtuale KVM Debian 11 (non ancora rilasciata) e ho attivato SELinux. Come riportato su https://wiki.debian.org/SELinux/Setup ho rimosso AppArmor e installato selinux-basics selinux-policy-default e auditd, ho lanciato selinux-activate e ho riavviato. Il sistema, giustamente, ha effettuato un relabel di tutto. Successivamente ho modificato la configurazione di SELinux da permissive a enforcing. Il problema è che non mi permette di loggarmi via ssh con utente normale dandomi come errore: /bin/bash: permission denied Ho usato SELinux su distro della famiglia RPM ma non sono esperto in quanto ho solo configurato dei contesti, qualche boolean e confinato qualche user e non riesco a capire come risolvere questo problema. Ho provato ad assegnare ad un utente il ruolo user_u con "usermod -Z user_u username" e riesco ad effettuare il login via ssh ma ho notato che lanciando "su -" non mi permette di leggere/scrivere file che sono soggetti ad altri contesti, come se l'utente root fosse confinato. Questa cosa non accade però se il login viene effettuato da console. Purtroppo la documentazione di Debian non mi è di alcun aiuto. In rete non sono riuscito a trovare granchè ma solo problemi relativi ad anni dimenticati Qualcuno ha qualche suggerimento? Grazie in anticipo. Dopo aver spulciato qualche boolean di SELinux ho abilitato ssh_sysadm_login (impostato a on) e permette agli utenti non confinati di effettuare il login su ssh. Non capisco perche se effettuo il login da utente confinato se lancio id -Z ho: user_u:user_r:user_t:s0 e dopo "su - root" mantiene lo stesso contesto dell'utente semplice e non unconfined. Può essere che la transazione da un contesto user_t non puo essere effettuata verso unconfined? Continuando la ricerca ho capito che: se si necessità di avere solo i servizi pubblicati su internet come confinati non ha senso usare il mapping degli user con gli user SELinux. Inoltre se viene abilitato il boolean ssh_sysadm_login, agli utenti non confinati è permesso il login, mentre ad un utente lo confiniamo con "user_u", è permesso il login ssh ma è confinato quindi nel caso in cui lanciasse un "su -" e ottenesse la root ha comunque il contesto dell'utente confinato e quindi non può fare nulla. Quello che non mi è chiaro è che se un utente lo mappo all'user SELinux staff_u (dalla doc di gentoo: SELinux user with direct system administrative role assigned), permette di fare il login ma non permette di lanciare comandi amministrativi ne da utente normale (credo sia normale) ne da utente root (con su -) perche il contesto rimane lo stesso di staff_u. A questo punto a che serve se non puo lanciare comandi amministrativi tipo apt?
Release party online
Ciao Nonostante la zona bianca, quest'anno fare release party di persona mi pare un po' prematuro, ma pare brutto non fare proprio nulla. La proposta è di trovarci il sabato della release, 14 agosto, dalle 20:30 in poi sull'istanza jitsi all'indirizzo https://meet.gl-como.it/Bullseye Nel caso in cui il server del LUG non regga :) ci sposteremo su un altro server, annunciando l'indirizzo qui e negli altri posti dove è stato inviato questo messaggio. P.S. non tutti hanno una buona connessione ad internet, per cui chiediamo di disattivare la webcam dopo aver salutato e attivarla solo sporadicamente e a turno. -- Elena ``of Valhalla'' signature.asc Description: PGP signature
Re: debian e domotica
On 11/08/21 14:57, Giuseppe Naponiello wrote: Google, Alexa, o posso evitare e orientarmi su qualcosa di più Linuxcentrico? io eviterei di usare google/alexa e simili poiché sono sempre più invasivi e limitano/eliminano privacy e libertà di ogni singola persona. Cose che Debian e il software libero hanno come fondamento. Non so se avete letto di Apple: ha dichiarato che ora verificherà prima in automatico la presenza di immagini (filmati? altro?) di bambini (rapiti, maltrattati, pedopornografia, ...), penso tramite AI, e per i casi segnalati come positivi ci sarà un loro team interno che visionerà e per i casi che risulteranno dubbi verrà fatta una segnalazione alle forze dell'ordine. In un primo tempo questo verrà fatto su quello caricato nel loro cloud, ma con il prossimo aggiornamento del sistema operativo avverrà anche su tutti i dispositivi. Inoltre Apple ha dichiarato che non condividerà questi suoi strumenti con le forze dell'ordine. È vero che la legge USA stabilisce che un'azienda che viene a conoscenza di maltrattamenti/abusi su minori debba segnalarli alle autorità, ma tale legge non implica la ricerca attiva. È vero che maltrattamenti/abusi su minori sono crimini che andrebbero fermati, ma non per questo un'azienda privata e non forze dell'ordine: 1) può indagare a sua completa discrezione su dati personali dei suoi utenti 2) può accedere e usare dati personali, che potrebbero essere anche sensibili e a maggior tutela, senza consenso e fare quello che ne vuole, mostrandoli a terzi (suoi dipendenti e consulenti) 3) tutto questo senza che per le persone "indagate" (tutti i clienti apple) ci sia un mandato di un giudice che permette tali operazioni Tenendo conto che un Machine Learning (ML) ha intrinseco una percentuale d'errore non trascurabile, altrimenti, se è troppo preciso sul campione usato per addestrarlo, fornirà risultati inattendibili su qualcosa che si discosta dal campione usato per l'addestramento. Ci sono già esempi a riguardo proprio in ambito giudiziario, ad esempio negli USA un uomo è stato arrestato e messo in galera perché per il riconoscimento facciale era lui il colpevole... fino a quando non si è scoperto che era un altro... Inoltre ci sono persone pagate da google/amazon e simili per ascoltare quanto sentito dai loro aggeggini vocali e in alcuni casi tali registrazioni sono diventate pubbliche. Tali ascolti sono finalizzati, a loro detta, per migliorare il servizio... ma, da quello che ho capito gli utenti coinvolti non erano consapevoli di tali "ascoltatori". Di che hardware/software ho realmente bisogno? Serverino, raspberry, arduino? Il grosso problema di tutti gli oggetti IoT è la sicurezza: * di solito non esistono aggiornamenti di sicurezza * se esistono può non essere così semplice aggiornarli * spesso gli utenti non cambiano neanche i parametri di default, permettendo a chiunque riesce a "raggiungerli" di poterli usare Tutto questo, ed altro, può permettere ai propri vicini o a qualcuno di passaggio di controllare la propria casa, da cose abbastanza "innocue" come spegnere/accendere qualcosa a cose un po' meno "innocue" come aprire o visionare le telecamere di videosorveglianza, ... Esistono motori di ricerca GIS a pagamento che indicano quali sono i dispositivi IoT, router, ... che usano le password di default, che hanno bug software/hardware, ... In rete si trovano articoli che parlano di ciò e studi di esperti di sicurezza che fanno presente tutti i pericoli che si corrono (ad esempio se hai una macchina "smart" viene aperta e accesa prima che il ladro arrivi fisicamente ad essa, deve solo entrare e partire). Purtroppo la nostra società sta andando verso una modalità di vita molto rischiosa perché si basa su cose che sembrano facilitarci la vita, ma che in realtà dietro non sono sicure proprio per nulla. Faccio un esempio di un articolo che ho letto qualche giorno fa: ad un esperto di sicurezza è stato consegnato un portatile con UEFI, secure boot, TPM, VPN, ms-windows, ... (tutto quanto indicato dal NIST per un caso di questo tipo) il portatile era di un utente di un'azienda per poter lavorare in sicurezza da remoto, ritenendo il tutto sicuro e inattaccabile. Tale esperto ha impiegato 30 minuti per riuscire ad estrarre la chiave privata del TPM e sostituire il file eseguibile che fa partire il login con la riga di comando e in questo modo avere completo accesso alla rete aziendale. OK, ha dovuto aver accesso al PC per farcela (ma se l'ipotetico dipendente è in trasferta, di sicuro lascerà il portatile in hotel quando esce a cena e in altre occasioni) e indicando come ha fatto si troveranno delle soluzioni, ma è sbalorditivo il minimo tempo voluto per riuscire ad estrarre la chiave privata dal TPM (se non erro una volta che la chiave privata è conosciuta, quell'hardware lo puoi buttare). Cercando di rispondere alle tue domande, anche se io non implementerei quello che vuoi fare e lo
tcl/tk manca winfo?
Ciao, volevo imparare ad usare tcl/tk per poter creare delle interfacce in modo semplice e veloce direttamente da file di script. Leggendo la documentazione trovo indicato il comando winfo # apt install tk-doc $ man winfo winfo(3tk)Tk Built-In Commands ___ NAME winfo - Return window-related information [...] quindi vedo che è un comando built-in, ma se eseguo $ winfo bash: winfo: comando non trovato ho provato anche da tclsh, stesso risultato se lo cerco con apt-file, naturalmente, non esiste dato che è indicato essere un comando built-in. Ma dov'è contenuto? Sto seguendo questo tutorial: https://tkdocs.com/tutorial/concepts.html dove propone un esempio su come usarlo (in Widget Introspection), ma se eseguo quel codice mi dice che non sa cosa sia winfo. Ho quindi visto che anche bind è un comando built-in, ma questo però funziona e anche gli esempi con bind funzionano. Ciao Davide -- Motivi per non comprare/usare ms-windows7: http://windows7sins.org/ Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: grub e boot in RAID+LVM
On Tue, Aug 10, 2021 at 12:59:59PM +0200, Piviul wrote: > Ciao a tutti, ritorno sull'argomento... data una debian 10 la cui partizione > di boot risiede su un LV basato su un VG con 1 solo PV in raid1 software nel > momento in cui al LV si aggiunge un secondo PV in raid 1 al VG relativo il > sistema non fa più il boot[¹]. > > Secondo voi è normale? È una limitazione conosciuta di grub? > > Grazie > > Piviul > > [¹] Ho provato anche con il "boot repair disk"... Domanda forse scema: perché la dir /boot l'hai messa sull'LVM? Io la /boot l'avrei lasciata su un RAID1 a parte... -- Saluton, Marco Ciampa
Re: Disco per un piccolo server
On Wed, Aug 11, 2021 at 10:53:52AM +0200, Leandro Noferini wrote: > Piviul writes: > > > Il 10/08/21 15:56, Leandro Noferini ha scritto: > > [...] > > >> Per evitare problemi di saturazione di una partizione che poi blocca il > >> resto > >> dei servizi volevo mettere un po' di partizioni sul nuovo disco da 1TB però > >> volevo una soluzione per quanto possibile flessibile e io ero rimasto a > >> lvm2: > >> c'è qualcosa di più nuovo e migliore? > > se non metti in discussione il filesystem (ext4 immagino) che io sappia > > direi > > che LVM2 è più che attuale. > > Bah, io metto in discussione sempre tutto (assemblea!) ma da quel che > leggo mi pare che con un computer come un raspberry rimanga la scelta > più consona. > > Indicazioni di qualche guida semplificante per lvm2 ne avete? Consiglio: LVM2 è semplice ma devi "smanettare" per capirlo appieno. Fatti e ri-fatti una diecina di volte un sistema e vedrai che è immediato... -- Saluton, Marco Ciampa
Re: debian e domotica
Ciao, Io ho giocato parecchio con node-red, che è davvero potente per creare integrazione tra servizi diversi e per creare facilmente regole. Uso in combinata dispositivi Shelly, che son wifi e contrariamente al sottobosco di cineserie si può configurare in modalità "locale" (quindi senza passaggio per fantomagici server dislocati chissà dove), usando un mqtt (mosquitto installato direttamente sulla Debian). A questo combino zigbee2mqtt (altro progettino opensource) unitamente a chiavetta USB CC2531 per interfacciarmi a dispositivi ZigBee di vendor diversi - es sensore temp della aqara, interruttore tradfri di Ikea, etc. Su nodered è possibile poi costruire anche delle dashboard interattive, oppure ancora puoi costruirti una interfaccia basilare per telegram usando i bot. Insomma, tanta roba. M On Wed, Aug 11, 2021, 22:54 Davide Prina wrote: > On 11/08/21 14:57, Giuseppe Naponiello wrote: > > > Google, Alexa, o posso evitare e orientarmi su qualcosa di più > > Linuxcentrico? > > io eviterei di usare google/alexa e simili poiché sono sempre più > invasivi e limitano/eliminano privacy e libertà di ogni singola persona. > Cose che Debian e il software libero hanno come fondamento. > > Non so se avete letto di Apple: ha dichiarato che ora verificherà prima > in automatico la presenza di immagini (filmati? altro?) di bambini > (rapiti, maltrattati, pedopornografia, ...), penso tramite AI, e per i > casi segnalati come positivi ci sarà un loro team interno che visionerà > e per i casi che risulteranno dubbi verrà fatta una segnalazione alle > forze dell'ordine. > In un primo tempo questo verrà fatto su quello caricato nel loro cloud, > ma con il prossimo aggiornamento del sistema operativo avverrà anche su > tutti i dispositivi. > > Inoltre Apple ha dichiarato che non condividerà questi suoi strumenti > con le forze dell'ordine. > > È vero che la legge USA stabilisce che un'azienda che viene a conoscenza > di maltrattamenti/abusi su minori debba segnalarli alle autorità, ma > tale legge non implica la ricerca attiva. > > È vero che maltrattamenti/abusi su minori sono crimini che andrebbero > fermati, ma non per questo un'azienda privata e non forze dell'ordine: > 1) può indagare a sua completa discrezione su dati personali dei suoi > utenti > 2) può accedere e usare dati personali, che potrebbero essere anche > sensibili e a maggior tutela, senza consenso e fare quello che ne vuole, > mostrandoli a terzi (suoi dipendenti e consulenti) > 3) tutto questo senza che per le persone "indagate" (tutti i clienti > apple) ci sia un mandato di un giudice che permette tali operazioni > > Tenendo conto che un Machine Learning (ML) ha intrinseco una percentuale > d'errore non trascurabile, altrimenti, se è troppo preciso sul campione > usato per addestrarlo, fornirà risultati inattendibili su qualcosa che > si discosta dal campione usato per l'addestramento. > Ci sono già esempi a riguardo proprio in ambito giudiziario, ad esempio > negli USA un uomo è stato arrestato e messo in galera perché per il > riconoscimento facciale era lui il colpevole... fino a quando non si è > scoperto che era un altro... > > Inoltre ci sono persone pagate da google/amazon e simili per ascoltare > quanto sentito dai loro aggeggini vocali e in alcuni casi tali > registrazioni sono diventate pubbliche. Tali ascolti sono finalizzati, a > loro detta, per migliorare il servizio... ma, da quello che ho capito > gli utenti coinvolti non erano consapevoli di tali "ascoltatori". > > > Di che hardware/software ho realmente bisogno? Serverino, raspberry, > > arduino? > > Il grosso problema di tutti gli oggetti IoT è la sicurezza: > * di solito non esistono aggiornamenti di sicurezza > * se esistono può non essere così semplice aggiornarli > * spesso gli utenti non cambiano neanche i parametri di default, > permettendo a chiunque riesce a "raggiungerli" di poterli usare > > Tutto questo, ed altro, può permettere ai propri vicini o a qualcuno di > passaggio di controllare la propria casa, da cose abbastanza "innocue" > come spegnere/accendere qualcosa a cose un po' meno "innocue" come > aprire o visionare le telecamere di videosorveglianza, ... > Esistono motori di ricerca GIS a pagamento che indicano quali sono i > dispositivi IoT, router, ... che usano le password di default, che hanno > bug software/hardware, ... > > In rete si trovano articoli che parlano di ciò e studi di esperti di > sicurezza che fanno presente tutti i pericoli che si corrono (ad esempio > se hai una macchina "smart" viene aperta e accesa prima che il ladro > arrivi fisicamente ad essa, deve solo entrare e partire). > > Purtroppo la nostra società sta andando verso una modalità di vita molto > rischiosa perché si basa su cose che sembrano facilitarci la vita, ma > che in realtà dietro non sono sicure proprio per nulla. > Faccio un esempio di un articolo che ho letto qualche giorno fa: ad un > esperto di sicurezza è stato consegnato un portatile con UEFI, secure > boot, TPM, VPN,
Re: grub e boot in RAID+LVM
Il 12/08/21 00:12, Marco Ciampa ha scritto: On Tue, Aug 10, 2021 at 12:59:59PM +0200, Piviul wrote: Ciao a tutti, ritorno sull'argomento... data una debian 10 la cui partizione di boot risiede su un LV basato su un VG con 1 solo PV in raid1 software nel momento in cui al LV si aggiunge un secondo PV in raid 1 al VG relativo il sistema non fa più il boot[¹]. Secondo voi è normale? È una limitazione conosciuta di grub? Grazie Piviul [¹] Ho provato anche con il "boot repair disk"... Domanda forse scema: perché la dir /boot l'hai messa sull'LVM? Io la /boot l'avrei lasciata su un RAID1 a parte... perché scema, ho semplicemente messo tutta la root in LVM e la boot di conseguenza... come dicevi rimuovendo /boot da lvm il problema scompare ma mi chiedevo perché grub non riesce ad accedere a /boot in lvm solo se il VG su cui si basa è composto da almeno 2 PVs in raid1; se il VG è composto da un solo PV in raid1 grub riesce ad accedere a /boot senza problemi. Ho cercato e ricercato se ci fossero limitazioni in merito ma non ho trovato nulla; puzza molto di baco... Piviul
