Re: OT. Telecamere di sicurezza
Il mer 15 mag 2024, 14:50 Diego Zuccato ha scritto: > ... Consiglio l'uso di modelli senza wifi, > solo con cavo, per evitare che sia facile determinare se c'è qualcuno > solo analizzando il flusso radio (senza decriptarlo). > Concordo; valuta anche i modelli poe, ti semplifichi la vita a non dover portare in giro l'alimentazione. Diego > Ciao, Giuliano
Re: VPN
Il dom 31 dic 2023, 11:28 Davide Prina ha scritto: Ciao Davide, Giuliano Curti ha scritto: > > > Purtroppo il port forwarding fatto sul router interno alla rete, pur > consentendo l'accesso alla home dello stesso, perde tutta l'impostazione > grafica rendendo praticamente illeggibile il contenuto. > > > ... > > ma che desktop environment usi? > Con wayland il l'X forwarding non dovrebbe più funzionare. > Purtroppo non sono sulla macchina e non lo so; presumo X, quello standard della Ubuntu 22.04, ma succede lo stesso su mobile Android 14 > > Per poter avere qualcosa di simile ho visto che c'è > waypipe > > Mi sono un po' perso nel thread e non me ne intendo su > questo argomento... ma se si devono trasmettere le immagini > di telecamere non si potrebbe usare uno screencast e accedere > .. > Però il mio problema è l'opposto: le telecamere trasmesse su diverse da motion le vedo bene, mentre non vedo bene la trasmissione del web server del router, pur tunnellizzato allo stesso modo :-( Ciao > Davide > Grazie, ciao, Giuliano
Re: VPN
VPN aggiornamento Ciao a tutti, a seguito dello scambio intervenuto sull'argomento, ho verificato che la soluzione ipotizzata è tale, cioè il port forwarding SSH consente di accedere ad una risorsa dell'host remoto. Qui sta la parte mezza o 3/4 piena del bicchiere, ora arriva il quarto vuoto :-) Volevo completare l'operazione con 1) la chiusura delle porte, non più necessarie, sul router 2) la eliminazione delle password di accesso a quella risorsa, ormai tunnellizzata 3) la eliminazione della jail di fail2ban relativa a motion, non più necessaria, cioè , primo passo, accedere al router. Purtroppo il port forwarding fatto sul router interno alla rete, pur consentendo l'accesso alla home dello stesso, perde tutta l'impostazione grafica rendendo praticamente illeggibile il contenuto. Anche l'opzione -X non da miglioramenti (non ho provato la -Y): sapete se c'è qualche opzione ovvero qualche altro browser graficamente meno avido di Chromium, che renda possibile l'operazione? Con questa procedura avrei tentato anche di modificare la porta SSH con qualche ragionevole speranza di non rimanere chiuso fuori dalla porta, ma mi sa che devo rinviare a quando sarò in presenza fisica delle apparecchiature. Grazie in ogni caso a tutti, ho imparato una cosa nuova. Saluti, Giuliano
Re: VPN
Il gio 28 dic 2023, 22:11 ha scritto: Ciao Mauro, > 28 dicembre 2023 alle ore 19:13, "Giuliano Curti" > > scrive: > > > > Aggiungo ancora un (o dei tanti) dubbio. > In questo momento ho aperto sul router la porta 22 per l'amministrazione > SSH e le porte 8080+ per la trasmissione web delle telecamere (1 per ogni > telecamera + 1 per l'applicativo). > > Se ... > > -- > > > ci sono due punti: > 1: puoi chiudere tutte le porte ad accezione della ssh. tutti gli accessi > passerebbero via ssh e non ci sarebbe piu' necessita' di avere le ulteriori > porte aperte. > Bene, adesso questo mi è chiaro :-) 2: la porta 22 e' bersagliata continuamente da scriptkiddies che tentanto > tutte le possibili combinazioni pur di indovinare gli accessi. Suggerisco > di cambiare la porta di default del servizio ssh, adeguare ovviamente le > impostazioni di eventuali firewall, file2ban e soci in modo da togliere di > mezzo gli script automatici. Non si tratta di un vero e' proprio metodo di > sicurezza, ma evita l'affollamento di tentativi di accesso automatici che > riempono i log. > Si, ho visto l'avvertenza in molti post e interverrò, però, come info generale, l'accesso con chiave e la protezione fail2ban non sono una solida protezione? Grazie infinite, ciao, Giuliano
Re: VPN
Il gio 28 dic 2023, 18:56 gerlos ha scritto: Ciao Gerlo, Il 26/12/23 18:57, Giuliano Curti ha scritto: > > Ciao a tutti, > > ho > > > Per questo tipo di applicazioni al momento sto usando Tailscale (vedi > https://tailscale.com/). > > È un'implementazione di una rete mesh Wireguard, semplicissima da usare e > ottimamente documentata. I client sono open source ed esistono per > qualsiasi OS. Il backend server predefinito è closed, ma ne esiste > un'implementazione open source che puoi mettere su un tuo sistema - ma se > vuoi ottenere rapidamente risultati la cosa migliore è appoggiarti ai loro > server. > > Una volta che un tuo dispositivo si collega alla tua rete tailscale (in > gergo "tailnet"), puoi raggiungerlo tramite un IP statico tipo 100.x.y.z. > Ti viene fornito anche un servizio dns interno, quindi puoi sempre > raggiungere un dispositivo anche tramite un nome dns simile a > miopc.colorful-beluga.ts.net. Le connessioni sono peer-to-peer, come > sarebbero in lan, quindi le prestazioni sono piuttosto buone. > > Per usarlo non ti serve aprire porte sul firewall. > > L'uso è gratuito per reti fino a 100 dispositivi e 3 utenti separati, non > so se si applica al tuo caso. Il prezzo per una rete con più di 3 utenti è > 6$ per utente al mese (ma i primi 3 utenti sono sempre gratis, quindi se ad > esempio siete in 5 pagate 12$ al mese). > Credo di averla intravista, ma probabilmente non ho capito bene; la riguarderò con più attenzione. > saluti, > > gerlos > Grazie della segnalazione, ciao, Giuliano
Re: VPN
Il gio 28 dic 2023, 18:18 Leonardo Boselli ha scritto: Ciao Leonardo, grazie; Una domanda importantissima: gli utenti predefiniti si collegano sempre > dallo stesso indirizzo, e lo usano solo loro ? perché se così fosse > basterebbe un allow e a quel punto non ti chiede neppure la utenticazione. > Sì, gli utenti sarebbero sempre gli stessi; riguardo l'indirizzo non saprei, si collegano da fuori quindi con indirizzi dinamici; scusa, forse non ho capito bene. > > > Aggiungo ancora un (o dei tanti) dubbio. In questo momento ho aperto sul router la porta 22 per l'amministrazione SSH e le porte 8080+ per la trasmissione web delle telecamere (1 per ogni telecamera + 1 per l'applicativo). Se instauro il tunnel SSH le porte 8080+ devono cmq rimanere aperte? In tal caso il discorso risulterebbe vanificato perché il sistema continuerebbe a trasmettere in chiaro su quelle porte; sono protette da user: password e da fail2ban, ma il tunneling non mi porterebbe vantaggi, mentre ne avrebbe parecchi se potessi chiuderle (come ho detto i dati non sono per nulla sensibili, per me è semplicemente un'occasione per capire di più di reti e sicurezza). -- > Leonardo Boselli > Firenze, Toscana, Europa Grazie della vostra infinita pazienza, un saluto, Giuliano
Re: VPN
Il mer 27 dic 2023, 20:32 ha scritto: > 27 dicembre 2023 alle ore 18:05, "Giuliano Curti" > > scrive: > > > > > Non sbagli pero' mi domando: chi deve usare l'http e' uno in grado di > aprire una shell, digitare un ssh -L etc etc o preferisce qualcosa di piu' > automatico: avvio connessione cliccando su una qualche icona, aprire il > browser e accedere? > Azzeccato, hai ragione :-)) uno degli "utenti predefiniti" sono io e posso presumere che, risolto la prima volta, posso reiterare correttamente la stringa di connessione, ma dovessi autenticare moglie o figlia per una cosa che riguarda anche loro il problema si porrebbe, a meno di risolvere con uno script. Valuterò, grazie dell'avvertimento. > > Mauro > Ciao, Giuliano
Re: Nuovo iscritto
Benvenuto :-)) Il mer 27 dic 2023, 19:39 Giulio Sorrentino ha scritto: > Ciao a tutti, sono un vecchio debian user ma un nuovo iscritto a questa > mailing list. > > Uso debian 12.4 e sono un developer, ho un mio repository apt sul quale > è possibile trovare software piccolo ma possente. > > http://numeronesoft.ddns.net > > Non è completamente free software, ma molto è in avalonia e necessita > del .net framework. > > Sono felice di essermi iscritto e spero di essere d'aiuto. > > Buone vacanze e buon anno a tutti. > >
Re: VPN
Il mer 27 dic 2023, 17:04 mauro morichi ha scritto: Ciao Mauro, > > Il 26/12/23 18:57, Giuliano Curti ha scritto: > > Fra le varie opzioni possibili mi è sembrato di individuare WIREGUARD > > . > > > Personalmente uso openvpn. > > . > > Rispetto a wireguard sicuramente lo studio e' un po' piu' complesso, ma > i risultati sono decisamente validi. > > my 5 cents > Ti ringrazio infinitamente per il tuo consiglio che valuterò; aggiungo però, rettificando forse il tiro, che per i miei usi (criptare una trasmissione HTTP per renderla fruibile solo ad utente/i predefinito/i) potrebbe bastare un SSH Port forwarding. Settando qualcosa tipo "SSH -L porta_locale remote.host:porta_remota" dovrei, aprendo il browser su http:://localhost:porta_locale, vedere quello che il web server del remote.host trasmette sulla porta_remota, o sbaglio? Mauro. > Grazie ancora, ciao, Giuliano
VPN
Ciao a tutti, ho allestito, come credo di aver scritto tempo fa, un server per la gestione di videosorveglianza remota con motion su un rpi4B (raspberryPiOS32). Il sistema trasmette in HTTP, protetto da FAIL2BAN, e sembra funzionare. Poiché il servizio non ha funzionalità pubbliche volevo restringerne l'uso ai soli utenti abilitati. Già ora la connessione è autorizzata con user:password, però pensavo che una trasmissione criptata a chiave asimmetrica potrebbe essere meglio (ad es. mi libererebbe dal digitare ad ogni connessione le credenziali per l'applicativo e per ogni telecamera). Forse però lo stimolo principale è l'occasione di conoscere ed applicare qualcosa di più avanzato in tema di sicurezza. Fra le varie opzioni possibili mi è sembrato di individuare WIREGUARD come lo strumento adatto. Prima di tuffarmi nella lettura e nella configurazione mi piaceva avere il conforto della vostra opinione (che tornerò a sollecitare per i dettagli pratici). Grazie, saluti ed auguri per le correnti festività, Giuliano
Re: router come ripetitore wifi
Il sab 16 dic 2023, 20:34 Sergio Vi ha scritto: > Entri nel router a guardi quali dispositvi sono connessi via ethernet e > relativo ip assegnato. Una volta conisciuto l'ip del repeater ti ci potrai > collegare. > Credo puoi usare anche nmap, ti fa la scansione della rete e degli host collegati. Esiste anche una app per mobile, Fing, che assolve allo stesso scopo (e ad altri che non conosco). Ciao, Giuliano
Re: Domini multipli sullo stesso host
On Wed, Nov 29, 2023 at 9:32 AM Lorenzo Breda wrote: > Il giorno mer 29 nov 2023 alle ore 09:05 Diego Zuccato < > diego.zucc...@unibo.it> ha scritto: > >> >> > > > . > Ciao a tutti, scusate un ultimo dubbio sull'argomento poi passerò a fare esperimenti (cercando di evitare la Polizia postale come ammonito da Diego :-). Mi dovrei trovare con una situazione del genere - dominio 1 record Aip - dominio 2 record CNAME dominio 1. La richiesta dei client conterranno l'indicazione "dominio 1" o "dominio 2" a seconda del dominio cercato? Mi chiedo questo per capire se il mio web server (caddy) sarà in grado di discriminare le richieste. Inoltre, dovendo immagino procedere all'ottenimento dei certificati anche per il dominio 2, l'ente certificatore (Let's Encrypt) dovrà anch'esso capire il dominio per cui le cerco. Spero di aver spiegato il dubbio; grazie infinite per la pazienza e disponibilità, un saluto a tutti, Giuliano
Re: Openlayers su testing
Il gio 30 nov 2023, 11:03 Giuseppe Naponiello ha scritto: Ciao Giuseppe, più veloce della luce > Ciao Giuliano, eccomi!!! > Lavoro con mappe su web da diversi anni, OpenLayers è sicuramente mlto > potente, a volte anche troppo rispetto alle normali necessità...nel senso > che OpenLayers ti permette di utilizzare una mappa su web quasi come un gis > desktop, nel senso che puoi anche fare diversi tipi di analisi spaziale. > > Le ultime versioni sono decisamente più semplici e riesci a fare molto con > un codice anche abbastanza pulito (le prime versioni erano un incubo). > Non so quali sono le caratteristiche delle mappe che vuoi visualizzare ma > ti consiglio anche di dare un'occhiata a Leaflet[0], forse meno potente ma > molto leggera come libreria e più semplice da gestire. Ha un sacco di > plugin ed è integrata perfettamente con altre librerie tipo bootstrap o > jquery. > > In ogni caso sia OL che Leaflet non hanno bisogno di infrastrutture > particolari tipo node o npm, basta includere i file js e css nel codice > della pagina.[1] > Il servizio che intendo offrire è molto semplice, una mappa di sfondo ed una mappa vettoriale (punti) interrogabile; alla pressione un popup con alcune info, e magari una immagine, del punto. (La pagina la preparo con QGIS e il plugin qgis2web. Mi guarderò meglio Leaflet, grazie della segnalazione. > -beppe- > Ciao, Giuliano
Openlayers su testing
Ciao a tutti, ho necessità di gestire un dominio con visualizzazione di mappe (è uno di quei due domini di cui ho parlato in altra mail). Pensavo di utilizzare openlayers: qualcuno qui usa questa libreria ed ha esperienze da condividere? Nel caso, il problema specifico che volevo sottoporre è il funzionamento di openlayers senza tutta l'infrastruttura node.js, npm, etc., che ho intravisto come possibile in rete. Ancora più specificatamente volevo verificare la possibilità di lavorare con il solo pacchetto v8.2.zip (mi orienterei su questo perché la versione in testing mi sembra vecchia (2.13...)). Grazie di ogni feedback, saluti, Giuliano
Re: IP di TIM [Era: Re: Domini multipli sullo stesso host]
Il mer 29 nov 2023, 08:30 Leandro Noferini ha scritto: > Diego Zuccato writes: > > > Il 28/11/2023 23:19, Lorenzo Breda ha scritto: > > [...] > > >> * TIM dà IP pubblici variabili. Non dà IP fisso. Lavorando per un > > > > Stando al commerciale, per i clienti residenziali da' solo IP privati. > > Io ho una connessione (in fibra) di TIM e ho da sempre un IP pubblico. > Tim anch'io, non fibra perché ancora manca, ma cablato, IP pubblico (dinamico). Da un'altra parte, sempre Tim ma connessione con SIM; inizialmente IP privato (nattato), dopo un po' di insistenza IP pubblico (dinamico). > > > [...] > > -- > Ciao > leandro > Ciao, Giuliano
Re: Domini multipli sullo stesso host
Il mar 28 nov 2023, 10:06 Diego Zuccato ha scritto: Ciao Diego, grazie, Il 27/11/2023 20:22, Giuliano Curti ha scritto: > > > Questo l'avevo visto; con un record CNAME il secondo diventa un alias > > del primo; ti .. Per i domini di secondo livello non puoi usare CNAME per il dominio. > Il dominio ha per forza una risoluzione numerica (analoga a un record > A), mentre i sottodomini possono essere A o CNAME. > Scusa, qui non ho capito :-( Cmq il mio dovrebbe essere un dominio di terzo livello: mydomain.ddns.net, quindi immagino non configurabile con CNAME. Per l'IP pubblico statico, oramai ogni volta che mi chiamano dei > romp...err... call center per farmi cambiare provider è la prima cosa > che chiedo: "mi garantite ip pubblico statico e FTTH?" > Se è TIM, inutile chiedere: sui contratti residenziali non lo danno. > Molti altri lo offrono o gratuitamente o a un paio di € al mese. > Al momento non intendo cambiare provider, pertanto mi sembra di capire che l'unica possibilità è quella indicata da Lorenzo: ddclient sull'host. Posso provare, mi basta capire che non incasino qualcosa / qualcuno e non vengo bannato a vita da tutti i provider per qualche operazione illecita. Diego Zuccato > DIFA - Dip. di Fisica e Astronomia > Servizi Informatici > Alma Mater Studiorum - Università di Bologna > V.le Berti-Pichat 6/2 - 40127 Bologna - Italy > tel.: +39 051 20 95786 > Grazie, ciao, Giuliano
Re: Domini multipli sullo stesso host
Il lun 27 nov 2023, 20:47 Angelo Salvarani (IGSG-CNR) < angelo.salvar...@bo.igsg.cnr.it> ha scritto: Ciao, > Puo' aiutare ? > > https://caddy.community/t/caddy-and-dynamic-dns/20503 > > Credo sia pertinente, soprattutto il link interno. Me lo devo guardare bene perché non è esattamente pane per i miei denti, ma proverò; semmai chiedo :-)) > A.S. > Grazie, un saluto, Giuliano
Re: Domini multipli sullo stesso host
Il lun 27 nov 2023, 19:45 Leonardo Boselli ha scritto: Ciao Leonardo, se il problema e di DNS se il router aggioirna solo un indirizzo, questo > sarà il cname del secondo. > Questo l'avevo visto; con un record CNAME il secondo diventa un alias del primo; ti risulta possibile quando registri un dominio su un provider DDNS settare il record DNS a CNAME? (Nei casi che ho finora fatto mi sono sempre avvalso del record A). Leonardo Boselli > Firenze, Toscana, Europa > http://i.trail.it > tel:+393287329225 Grazie infinite anche a te, ciao, Giuliano
Re: Domini multipli sullo stesso host
Il lun 27 nov 2023, 19:13 Lorenzo Breda ha scritto: Ciao Lorenzo, Il lun 27 nov 2023, 19:02 Giuliano Curti ha scritto: > >> >> I domini devono avere la stessa risoluzione (stesso indirizzo ip >> dell'host); il router (almeno il mio) ha una sola possibilità di >> collegamento con provider DDNS, quindi come fare per tenere aggiornati i >> due DNS? forse con ddclient o duc per il secondo provider? >> > > La cosa più semplice è far girare il client (o i client) su una macchina > della tua rete (magari quel server che esponi?) invece di usare la funzione > del router. > Cioè ddclient per dynDns e duc per Noip? Presumo vadano bene anche router su uno e client per l'altro Alternativamente, passi a un provider che fornisce un IP fisso. > Penso che la cosa abbia dei costi (entità?) che la rendono incompatibile con l'uso amatoriale che sto facendo :-) -- > Lorenzo Breda > Grazie infinite, ciao, Giuliano
Domini multipli sullo stesso host
Ciao a tutti, eccomi con il problema correlato a web server (caddy) cui avevo accennato nel precedente msg (vige sempre la consapevolezza di essere borderline, se non palesemente OT, e quindi.). Il problema e l'esempio sotto li ho visti nella documentazione di caddy, ma hanno per me carattere generale: la gestione di più domini su un solo host: primodominio.duckdns.org { reverse_proxy 192.168.1.10:8080 } secondodominio.ddns.net { reverse_proxy 192.168.1.10:8090 } vorrei capire come tutto questo funziona. I domini devono avere la stessa risoluzione (stesso indirizzo ip dell'host); il router (almeno il mio) ha una sola possibilità di collegamento con provider DDNS, quindi come fare per tenere aggiornati i due DNS? forse con ddclient o duc per il secondo provider? Grazie della pazienza, un saluto, Giuliano
Re: Caddy
On Mon, Nov 27, 2023 at 3:06 PM Marco Ciampa wrote: > On Mon, Nov 27, 2023 at 10:30:24AM +0100, Giuliano Curti wrote: > > Il lun 27 nov 2023, 09:54 Marco Ciampa ha scritto: > > > > > On Thu, Nov 23, 2023 at 04:27:30PM +0100, Giuliano Curti wrote: > > > > Ciao a tutti, > > > > > > > > ritorno qui (... > > > > > > ...(snip) > > > > Per questo prova ngix proxy manager: https://nginxproxymanager.com/ Ciao Marco, grazie della segnalazione. Dalla prima pagina sembra avere gli stessi obiettivi di caddy: pagine statiche e reverse proxy, generazione e rinnovi automatici dei certificati; poi lo guarderò meglio. Tieni conto che non sono un esperto del settore, anzi mi ci sono appena avvicinato per divertimento e già trovare la quadratura con un software a prova di scimmia come caddy (e come dichiara anche nginx proxy manager) è stato per me sforzo sovraumano :-) In ogni caso avere più opzioni è una ricchezza, quindi grazie di nuovo. Amike, > Marco Ciampa > Ciao, Giuliano
Re: Caddy
Il lun 27 nov 2023, 09:54 Marco Ciampa ha scritto: > On Thu, Nov 23, 2023 at 04:27:30PM +0100, Giuliano Curti wrote: > > Ciao a tutti, > > > > ritorno qui (... > > Domanda stupida: cos'è caddy? > Ciao, è un server web con capacità di reverse proxy, analogo a apache e nginx, ma particolarmente orientato all'HTTPS. Qui https://caddyserver.com/ trovi documentazione. Mi ha attratto, da profano quale sono, la sua apparente facilità nell'ottenere e gestire le certificazioni. Dovrebbe provvedere automaticamente (come certbot) anche al rinnovo, ma qui non ho ancora sperimentato. Amike, > Marco Ciampa > Grazie, ciao, Giuliano
Re: Caddy [Risolto]
Ciao, mi rispondo da solo; ho risolto o, meglio, si è risolto da solo perché io ho solo corretto un pasticcio che avevo fatto: avevo settato il forward della porta 443 del router, ma non l'avevo attivato per cui la porta non risultava aperta; con l'aiuto di portcheck ho individuato il problema e.. Una parola su caddy: non sono in grado di fare paragoni con altri sw né sulla configurazione né sulle performance, però la messa a punto è risultata facile anche per un pasticcione come me. Grazie, chiedo scusa dell'inutile rumore, ma non sapevo che pesci pigliare Tornerò presto con un problema contiguo (configurazione multi domain), ma lo farò con un thread pulito. Grazie ancora, un saluto, Giuliano Il gio 23 nov 2023, 16:27 Giuliano Curti ha scritto: > Ciao a tutti, > > ritorno qui (prima di andare a rompere i marroni sulla lista ufficiale con > il mio inglese stentato) sull'argomento caddy per vedere se qualcuno ha > esperienze da condividere. > > Ho installato caddy, fatto qualche prova, testato la configurazione e > generati i certificati. > > Dopo un disarmante ERROR con la modalità tls-alpn, un più rassicurante > SUCCEDED (vado a memoria, sono fuori; posso essere più preciso sui log se > utile); mi sono trovato tre file .crt, .json e > .key. > > Ho modificato la direttiva >tls .crt .key > in Caddyfile, ma il server non funziona (in modalità HTTP funzionava). > > Ho provato s mettere indirizzi relativi e indirizzi assoluti; cambiare i > permessi da 0600 a 0644, ma niente; ho anche rinominato i file in .pem, ma > tutto inutile. > > Se qualcuno sa suggerirmi qualche rimedio è il benvenuto. > > Grazie infinite, saluti, > Giuliano >
Re: Sostituire USBimager
On Sun, Nov 26, 2023 at 5:21 PM Ilario Quinson wrote: > Il 26 novembre 2023 16:48:36 CET, gerlos ha scritto: > >Il 25/11/23 18:47, Ilario Quinson ha scritto: > >> Ciao a tutti, > Ciao, qui https://www.debian.org/releases/stable/arm64/ch04s03.it.html ho visto questo # cp debian.iso /dev/sdX # sync È per arm64 (raspberry) ma credo vada bene cmq. Ciao, Giuliano > >> > >> con altra distro utilizzavo USBimager, purtroppo per Debian non è > pacchettizzata. Sapete con cosa posso sostituirla? solo dd da linea di > comando? > > > >Personalmente usavo Balena Etcher, eseguendolo via AppImage: > > > >https://etcher.balena.io/ > > > >Poi ho scoperto Ventoy, ed ho smesso di averne bisogno: > > > >https://www.ventoy.net/en/index.html > > > >saluti, > >Gerlos > > Grazie Gerlos, ma non sono sicuro sia quello che mi serve, non ricordo se > usbimager creava una .iso ma a memoria non mi sembra. > Io devo copiare pari-pari una SD in un altra SD. > > Ilario > > -Perdonate la approssimazione. > >
Caddy
Ciao a tutti, ritorno qui (prima di andare a rompere i marroni sulla lista ufficiale con il mio inglese stentato) sull'argomento caddy per vedere se qualcuno ha esperienze da condividere. Ho installato caddy, fatto qualche prova, testato la configurazione e generati i certificati. Dopo un disarmante ERROR con la modalità tls-alpn, un più rassicurante SUCCEDED (vado a memoria, sono fuori; posso essere più preciso sui log se utile); mi sono trovato tre file .crt, .json e .key. Ho modificato la direttiva tls .crt .key in Caddyfile, ma il server non funziona (in modalità HTTP funzionava). Ho provato s mettere indirizzi relativi e indirizzi assoluti; cambiare i permessi da 0600 a 0644, ma niente; ho anche rinominato i file in .pem, ma tutto inutile. Se qualcuno sa suggerirmi qualche rimedio è il benvenuto. Grazie infinite, saluti, Giuliano
Re: Https e caddy
Il dom 12 nov 2023, 10:46 Davide Prina ha scritto: Ciao Davide, grazie del riscontro; .. > > > Capisco bene che il tuo consiglio è di andare su apache tralasciando > > gli altri due (di nginx ne parlano un gran bene)? > > io mi ricordo che avevo guardato poco tempo fa (forse circa 2 anni fa) > e le prestazioni sui equivalevano tra Apache e Nginx e, se non ricordo > male, erano i più prestazionali... > Qui ti stoppo subito :-) il mio problema non sono le prestazioni, ma mettere in piedi un servizio che funzioni e possibilmente provvisto di certificato; delle prestazioni mi occuperò in seguito. Ho pensato di partire con Caddy perché mi stuzzica l'apparente facilità di creazione e rinnovo dei certificati; cercherò di capire se la facilità è concreta o, appunto, solo apparente (dovrò anche capire come gestire sotto caddy qgis-server in fastcgi, tutte le guide contemplano apache e nginx). È vero ci sarebbe l'alternativa certbot che mi lascerebbe più elasticità nella scelta del web server, ma purtroppo sul sito consigliano una versione snap; per quanto dispongo di una macchina Ubuntu, è un formato di cui mi vorrei liberare, quindi la scelta quasi obbligata diventa caddy. Quindi la mia roadmsp è tracciata: 1) installazione caddy su testing: fatto 2) pagina statica di prova: fatto 3) reverse proxy di wsgi 4) reverse proxy di fastcgi per qgis-server 5) certificati di prova 6) certificati finali. Troverò sicuramente occasione per rompere ancora :-) :-) . > > Ciao > Davide > Grazie della pazienza, saluti, Giuliano PS: ho appena visto l'amico Luca scusarsi per scrivere da Gmail per Android; anch'io scrivo da lì e non ho mai pensato a come arrivano le mie mail; chiedo scusa se la negligenza ha creato disturbo; datemi per cortesia indicazioni sui settaggi per riportare nel caso la cosa in limiti tollerabili.
Re: Https e caddy
Il dom 5 nov 2023, 19:55 Leonardo Boselli Ciao Leonardo, grazie; ha scritto: > On Sun, 5 Nov 2023, Giuliano Curti wrote: > > 3) mi chiedevo se era possibile una terza possibilità: N domini gestiti > da N > > server esportati tramite un reverse proxy; in tal caso avrò bisogno di N > > certificati, ma mi viene il dubbio di cosa succeda al DNS, N domini che > > hanno tutti lo stesso indirizzo! Si può fare? E poi il reverse proxy > sarebbe > > in grado di gestire in contemporanea chiamate a domini diversi? > > Un certificato può essere emesso per più di un dominio.. Colpa mia non averlo specificato, mi riferivo a certificati gratuiti che dovrebbero essere solo di tipo DV. Ho appena visto però nelle FAQ del sito di Let's Encrypt che esiste il meccanismo SAN (Subject Alternative Name); me lo guarderò meglio. e si riferisce a l > nome di dominio, non all'indirizzo della macchina. > Questo dovrebbe confermare che è possibile ottenerlo su una macchina diversa e poi trasferirlo (togliendo l'angoscia di operare sulla macchina di produzione (si fa per dire) :-))) Leonardo Boselli > Grazie infinite, ciao, Giuliano
Re: Https e caddy
Il dom 5 nov 2023, 10:52 Davide Prina ha scritto: Ciao Davide, grazie del riscontro Giuliano Curti ha scritto: > > > dovrei configurare caddy(/nginx/apache) in reverse proxy per > l'occorrenza. > > per Apache web server: oltre a guardare sul sito di Apache stesso ti > consiglio di dare un'occhiata anche al wiki di Debian, . > Capisco bene che il tuo consiglio è di andare su apache tralasciando gli altri due (di nginx ne parlano un gran bene)? Mi guarderò la documentazione che mi hai indicato. Per le certificazioni dovrei usare certbot, giusto? Per gestire più siti ti crei più file di configurazione .conf > > Qui approfitto per capirne di più. Io riesco da profano a vedere 3 scenari (puramente immaginari, tanto per cercare di capire la logica): 1) gestire i servizi come pagine dello stesso dominio, quindi il server risponde a N chiamate tipo "mio_dominio ddns.net/servizio_X" offrendo a seconda del caso la risposta corretta; in tal caso potrei anche fare a meno del reverse proxy e me la caverei con 1 solo certificato; con un costo però, la maggior complessità del server; 2) più servizi sulla macchina gestiti da server diversi, esportati tramite un reverse proxy che passa la chiamata "mio_dominio ddns.net/servizio_X" al server X; ancora 1 solo certificato e server interni più snelli; necessità di configurare, come mi spiegavi e mi studierò, il reverse proxy; 3) mi chiedevo se era possibile una terza possibilità: N domini gestiti da N server esportati tramite un reverse proxy; in tal caso avrò bisogno di N certificati, ma mi viene il dubbio di cosa succeda al DNS, N domini che hanno tutti lo stesso indirizzo! Si può fare? E poi il reverse proxy sarebbe in grado di gestire in contemporanea chiamate a domini diversi? 4) mi sfugge qualche altra possibilità? È un discorso ancora teorico, cmq N è dell'ordine 2, massimo 3; prima però mi devo occupare della certificazione di un dominio; il caso di servizi/domini multipli rimane congelato. Ciao > Davide > Grazie infinite, ciao, Giuliano
Re: Https e caddy
Il sab 4 nov 2023, 07:57 Paride Desimone ha scritto: Ciao Paride, grazie del commento che mi consente di capire meglio il problema dei livelli Il 3 novembre 2023 10:30:30 UTC, Giuliano Curti ha > scritto: > > >3) in futuro potrei avere esigenza di gestire piu servizi dallo stesso > >indirizzo; la certificazione base sembra sia per un solo dominio; > .. > > Per un solo dominio di 2 livello. Ciò significa che puoi avere anche un > certificato wildcard che te lo gestisca, quindi infiniti domini di terzo > livello. > i miei domini derivano da no-ip, del tipo x.ddns.net, pensavo fossero di terzo livello, sto sbagliando? Nel caso come incide sul problema certificati? > > /paride > Grazie, ciao, Giuliano
Re: Https e caddy
Qui mi rispondo da solo: 2) ... > c'è qualche modalità provvisoria per l'evenienza . > Appena visto su indomus.it/Installare e configurare Caddy..: { acme_ca https://acme-staging-v02.api.letsencrypt.org/directory } . > >
Https e caddy
Ciao a tutti, faccio qualche domanda a proposito di HTTPS per un servizio (amatoriale) esposto al pubblico, spero di non scocciare (ogni tanto ritorno con questi dubbi. :-) 1) intanto volevo sapere le impressioni/consigli se qualcuno qui usa caddy 2) mi affascina (da profano di reti, certificazioni, ecc.) l'apparente semplicità di caddy nel richiedere ed ottenere i certificati, ma ho anche timore di molti errori iniziali e quindi di venire bannato da Let's Encrypt; c'è qualche modalità provvisoria per l'evenienza o meglio secondo voi affidarsi a certbot (che ha, mi sembra, una configurazione di prova)?(*) 3) in futuro potrei avere esigenza di gestire piu servizi dallo stesso indirizzo; la certificazione base mi sembra sia per un solo dominio; pensavo quindi di gestire i vari servizi come pagine del dominio principale e dovrei configurare caddy(/nginx/apache) in reverse proxy per l'occorrenza. Qualcuno mi sa suggerire qualche lettura/esempio per passare dalla teoria ai fatti? Questo cmq per il futuro, adesso andiamo pure un passo alla volta :-)) Grazie, un affettuoso e riconoscente saluto, Giuliano - (*) questa soluzione avrebbe anche il vantaggio, se non ho equivocato le frastornate letture che ho fatto, di poter essere avviata da una macchina diversa e poi trasferire i certificati ottenuti sul server, soluzione che mi darebbe tutto il tempo di fare esperimenti senza dover fermare il servizio (che cmq non è critico).
Re: Server smtp in sola spedizione semplice
Ciao, nel caso usassi python, con la libreria smtplib è possibile inviare mail tramite un account Google (magari altri, ma io conosco questo) senza installare server di posta. Configurando l'account ti viene rilasciato un token che usi per l'invio. Roba di appena 1/2 mesi fa e già non ricordo, ma se ti serve controllo se ho lasciato qualche appunto in giro. Ciao (scusa il top quoting), Giuliano Il lun 30 ott 2023, 07:51 Leandro Noferini ha scritto: > Paride Desimone writes: > > [...] > > > Premesso che ho capito poco cosa vuoi fare > > In tutta evidenza non sono riuscito a spiegarmi: vi chiedo perdono. > > Ho un server che manda avvisi standard (aggiornamenti software, analisi > dei log e che altro) via email ad una mia casella postale personale che > sta altrove. Fino alla fine di novembre potrò usare il server smtp del > provider ma poi questo diventerà a pagamento e quindi lo vorrei evitare. > > Volendo evitare di far sapere a google anche questa cosa e volendo anche > evitare di dover mettere sul computer in questione password di account a > giro, volevo installare un server smtp che mandasse queste email al mio > indirizzo direttamente quindi pensavo ad un server smtp che possa solo > inviare. > > In rete, in particolare su digitalocean, ho trovato delle guide su come > configurare questa cosa usando postfix ma vi volevo chiedere se ci sono > programmi un po' più specifici per semplificare questa cosa. In sostanza > un server smtp che faccia solo invii al limite anche solo ad un > indirizzo. > > Spero di essere stato più chiaro. > > -- > Ciao > leandro > >
Re: Server domestico
Il mar 24 ott 2023, 21:21 Luca Alzetta ha scritto: Ciao Luca, Scusate, esiste una discussione in lista in cui si affronta > l'implementazione di un server HTTPS partendo da: come accendere il > computer? Usando quello che si tiene normalmente in casa? > Una discussione credo di no; più facile tante discussioni, ognuna su un aspetto diverso e complementare. Cmq è un problema che sto affrontando (per puro divertimento) anch'io da qualche tempo. Considera però che dall'accensione del computer all'HTTPS ci sono .. un po' di passi; io ne ho percorsi alcuni, altri mi mancano ancora (https, reverse proxy, ecc.). Se hai bisogno puoi chiedere, ben felice di condividere quello che ho appreso dalla lista; meglio se specifichi, come ti hanno già detto, quello che vuoi sapere. Ciao, Giuliano >
Re: (Ancora) problemi di rete
RISOLTO. Chiedo scusa a tutti, probabile problema hardware nella connessione casalinga :-( Non ci avevo pensato perché solo qualche giorno prima, da quella postazione, avevo installato la testing sul miniPC; però quando ho visto che non prendeva l'IP nemmeno in configurazione DHCP normale mi è venuto il dubbio; collegato direttamente al router prende l'indirizzo, peraltro quello fisso che volevo. Chiedo scusa a tutti per l'inutile rumore. Grazie per la pazienza, saluti, Giuliano Il mar 24 ott 2023, 16:30 Giuliano Curti ha scritto: > Il mar 24 ott 2023, 14:52 Diego Zuccato ha > scritto: > > Ciao Diego, > > >> >> E quindi ti servono le istruzioni del router. >> > > Quello dovrei aver trovato le istruzioni, come dicevo, ci ero già riuscito > (ip fisso + port forwarding) > >> >> ... >> >> > d) nel caso di configurazione manuale: >> > d.1) può incidere l'aver omesso "auto enp0s25" in cima alla sezione >> (c'è >> > il solo "allow hotplug enp0s25")? >> >> Si. Ho avuto proprio ieri il problema su un paio di istanze di Proxmox: >> senza 'auto' non abilitava il link. >> > > Ecco un secondo elemento da aggiungere all'errore che ha già evidenziato > Lorenzo; > > >> > .. >> -- >> Diego Zuccato >> > > Grazie infinite anche a te, > Giuliano > >
Re: (Ancora) problemi di rete
Il mar 24 ott 2023, 14:52 Diego Zuccato ha scritto: Ciao Diego, > > E quindi ti servono le istruzioni del router. > Quello dovrei aver trovato le istruzioni, come dicevo, ci ero già riuscito (ip fisso + port forwarding) > > ... > > > d) nel caso di configurazione manuale: > > d.1) può incidere l'aver omesso "auto enp0s25" in cima alla sezione (c'è > > il solo "allow hotplug enp0s25")? > > Si. Ho avuto proprio ieri il problema su un paio di istanze di Proxmox: > senza 'auto' non abilitava il link. > Ecco un secondo elemento da aggiungere all'errore che ha già evidenziato Lorenzo; > > .. > -- > Diego Zuccato > Grazie infinite anche a te, Giuliano
Re: (Ancora) problemi di rete
Il mar 24 ott 2023, 14:47 MAURIZI Lorenzo ha scritto: > Ciao Giuliano, > Ciao Lorenzo, grazie del riscontro. > se il dispositivo prende l’IP APIPA (169.254.x.x) significa che ha il > DHCP attivo e non ottiene alcun indirizzo dal server DHCP (il tuo router). > > Quindi, secondo me, hai due strade: > > · Impostare IP manuale sui dispositivi, disabilitando il DHCP sui > due client, e andando anche a impostare sul router un range DHCP che non si > sovrapponga con il range degli IP statici. > qui forse ho capito dove sbaglio: assegno l'ip fisso in /etc/network/interfaces, ma non ho disattivato il client DHCP, azz... grazie, ho qualcosa su cui lavorare; > · Lasciare il DHCP attivo sui dispositivi e fare una DHCP > reservation sul router, in modo che il server DHCP sul router assegni > sempre gli stessi IP a quei due dispositivi (riconosciuti tramite il MAC > Address). > È quello che faccio; sull'rPi funziona, sul miniPC no; non capisco cosa ne impedisca il funzionamento; > Ormai tutti i router hanno la possibilità di riservare degli IP a dei > dispositivi. In tal caso il range DHCP può anche essere 2-254 (se il tuo > router ha IP 1). Eviterei di includere l’IP del router nel range DHCP. > Si, l'1 era fuori dal range; adesso cmq lascio lascio il range così, tanto non dovrebbe dare problemi. > Se dovessi scegliere io, farei la seconda impostazione. .. > Anch'io punterei a quella, ma... Ciao da Lorenzo > Grazie, ciao, Giuliano
(Ancora) problemi di rete
Ciao a tutti, ritorno con il mio, ahimè (ahivoi?) annoso problema di reti, specificatamente assegnazione di indirizzi fissi dove fatico a trovare la strada. Sintetizzo i desideri ed i problemi; sotto descrivo più dettagliatamente il contesto nel tentativo di offrire un quadro più chiaro: a) vorrei assegnare indirizzi statici a due host in connessione cablata (stessa rete, stesso router Tim) b) preferirei farlo da router piuttosto che da /etc/network/interfaces c) devo rispettare qualche regola per gli indirizzi? ad es. vi risulta che gli indirizzi statici debbano precedere quelli del pool DHCP dinamico (v. sotto)? d) nel caso di configurazione manuale: d.1) può incidere l'aver omesso "auto enp0s25" in cima alla sezione (c'è il solo "allow hotplug enp0s25")? d.2) necessità qualche istruzione aggiuntiva per stabilire la route? Grazie della pazienza, sotto qualche info in più, cordiali saluti, Giuliano --- 1) antefatto 1. Ho un rpi2B con raspbian 10 32bit (pc e os vecchiotti ma fanno il loro dovere) che riceveva dal router l'ip fisso 192.168.1.100. Il forwarding della porta 80 esterna sulla porta 8080 di questo host mi consentiva di esporre un servizio HTTP. Per inciso, il pool DHCP dinamico del router era 1-254 (l'avevo lasciato come da fabbrica). Una configurazione analoga mi funziona su un'altra rete. 2) antefatto 2. Ho acquistato nel frattempo un miniPC con debian testing cui volevo assegnare l'indirizzo fisso 192.168.1.110. 3) problema 1. Sconnesso e riconnesso qualche tempo dopo, l'rPi non riceve più quell'indirizzo, ma uno del pool DHCP dinamico (192.168.1.2). 4) problema 2. Il miniPC non riceve indirizzo alcuno. 5) tentativo 1. Ho provato per puro sfizio logico a ridurre il pool dinamico da 1-254 a 1-99 per distinguerlo dagli indirizzi fissi, ma non funziona. 6) tentativo 2. Ho provato ad agire sulla configurazione manuale /etc/network/interfaces del miniPC. Questa è macchinosa perché l'interfaccia si porta dietro l'indirizzo 169.254.138.54/16 e necessita di un ifdown enp0s25 e poi ifup per avere il solo indirizzo desiderato 192.168.1.110. Ciò nonostante non si collega al router eppure in /etc/network/interfaces ho settato: indirizzo, rete, netmask, broadcast, gateway, namesserver. Sembrerebbe mancare la route perché manca la riga default gateway, ma non dovrebbe essere la riga "gateway" in /etc/network/interfaces a configurarlo? Ho installato la testing dalla rete ed allora tutto funzionava. 7) tentativo 3. Anche questa volta per puro sfizio logico ho provato a spostare gli indirizzi fissi all'inizio (10 e 20) e il pool a 100-254. L'rPi sembra aver risolto, il web server è accessibile dall'esterno; dovrò verificare al prossimo riavvio, ma il miniPC non ne vuol sapere; continua a prendere un ipv6 che non so interpretare e quel maledetto 169.ecc.ecc.ecc. Mi chiedo cosa mi manchi per ottenere il risultato desiderato.
Re: Ancora sulle installazioni.[RISOLTO]
Il mer 20 set 2023, 17:16 Paride Desimone ha scritto: > Il 20-09-2023 07:22 Alessandro Rubini ha scritto: > > > ... > Ciao a tutti, un ultimo msg per chiudere il thread. La mia imbranatura con le installazioni si è dimostrata più saggia delle mie elucubrazioni. Il mancato riconoscimento della tastiera durante l'installazione di win, con conseguente interruzione della stessa, mi obbligava a ripristinare da un media che non avevo e quindi. intero disco, interno, non USB, dedicato alla testing :-) Grazie a tutti per i consigli e la pazienza, Giuliano
Re: Ancora sulle installazioni.
Il mar 19 set 2023, 15:26 Fabrizio ha scritto: > >> . >> > > . non è che non funziona un'installazione usb ma è solo lenta da far > venire il latte alle ginocchia, > In effetti di questo problema non mi ero preoccupato, però la considero una installazione un po' sperimentale. sarebbe almeno auspicabile avere la swap in ram, > La macchina dovrebbe avere 8GB di RAM, la swap dovrebbe essere poco utilizzata (anche se la configurerò) e poi ormai gli ssd te li tirano dietro quindi se dovessi scegliere ne > prenderei uno dedicato > Vero, però ho un HDD a costo zero e userei quello per sperimentare :-D sempre che questi mini PC abbiano una porta SATA o NVME e lo slot > La macchina dovrebbe avere spazio per un secondo SSD; l'ho aperta ma non ho visto connettori, quindi non so bene (i video sull'apertura e chiusura del case non sono stati per me molto significativi), approfondirò; ma non li conosco proprio e la parola mini non mi fa presagire nulla di > buono > Ti farò sapere (anche se non ho ancora deciso la strada da intraprendere...) Grazie a te e Beppe, ciao, Giuliano
Re: Ancora sulle installazioni.
Il mar 19 set 2023, 10:06 Fabrizio ha scritto: Ciao Fabrizio, Il giorno mar 19 set 2023 alle ore 09:11 Giuliano Curti < > giulian...@gmail.com> ha scritto: > >> Ciao a tutti, >> ... >> >> Avendo accumulato molta ruggine in fatto di installazioni (l'ultimo l'ho >> preso con Ubuntu preinstallato) vorrei evitarmi le ansie di uefi, secure >> boot, fast boot, dual boot, ecc. ecc. e pensavo a due alternative sulle >> quali mi piaceva ricevere le vs opinioni. >> >> metti su una macchina virtuale UEFI e vedi come ti trovi meglio, > Dalla padella alla brace :-D (autoironica); anche della virtualizzazione non conosco nulla, la metterei nell'elenco delle cose da evitare (per me) > >> Intanto processore Intel i5 quindi architettura amd64; i dubbi sono: >> >> 1) eglio netinstall con installazione su un HD collegato in un cabinet >> USB (possono esserci conflitti fra la penna USB di netinst e il disco USB >> di destinazione? Devo valutare l'uso di una SD per netinst?) >> > > non credo, quando installi devi scegliere tu il disco giusto, io > preferisco l'installer, le > Ok; >> 2) oppure installazione di una testing live direttamente sull'HD; qui >> però ho il problema che non trovo l'immagine iso della testing live: >> qualche indicazione su dove trovarla? >> > > https://cdimage.debian.org/cdimage/weekly-live-builds/amd64/iso-hybrid/ > Grazie; In entrambi i casi risolverei il problema del dual boot con la scelta del >> disco di avvio: SDD -> Win10, USB -> Debian. >> > > ma hai proprio così poco spazio che non riesci a far convivere i sistemi > sullo stesso disco? > Spazio dovrei averne perché quella macchina contiene solo Win10 senza dati; forse anche solo l'immagine perché non l'ho ancora avviato. Però devo impegnarmi nel partizionamento manuale (che non mi spaventa più di tanto avendolo fatto in passato; qualche ansia sulle tecnicalità legate a uefi, ma forse a quel punto sono già superate). Grazie, ciao, Giuliano
Ancora sulle installazioni.
Ciao a tutti, è gradito un consiglio su una nuova installazione. Voglio appunto installare la testing su un mini pc appena comprato con preinstallato win10. Avendo accumulato molta ruggine in fatto di installazioni (l'ultimo l'ho preso con Ubuntu preinstallato) vorrei evitarmi le ansie di uefi, secure boot, fast boot, dual boot, ecc. ecc. e pensavo a due alternative sulle quali mi piaceva ricevere le vs opinioni. Intanto processore Intel i5 quindi architettura amd64; i dubbi sono: 1) eglio netinstall con installazione su un HD collegato in un cabinet USB (possono esserci conflitti fra la penna USB di netinst e il disco USB di destinazione? Devo valutare l'uso di una SD per netinst?) 2) oppure installazione di una testing live direttamente sull'HD; qui però ho il problema che non trovo l'immagine iso della testing live: qualche indicazione su dove trovarla? In entrambi i casi risolverei il problema del dual boot con la scelta del disco di avvio: SDD -> Win10, USB -> Debian. Ecco tutto (per adesso :-D); qualsiasi commento è gradito. Grazie, saluti, Giuliano
Re: Ancora sui cookies
Il dom 17 set 2023, 14:36 Davide Prina ha scritto: Ciao Davide Giuliano Curti ha scritto: > > > Diego Zuccato ha scritto: > > >> Matteo Bini ha scritto: > > >>> In breve, se non salvi gli indirizzi IP di chi visita il tuo sito, non > >>> usi cookie e non raccogli dati personali, non devi scrivere nulla. > > >> Neppure io sono un legale, ma mi sembra un consiglio pericoloso: per > >> gestire la richiesta, il server sta trattando un dato personale (l'IP), > >> per quanto in modo transiente e senza conservarne traccia. > > anch'io non sono un legale, ma secondo quello che ho capito io: > 1) per i cookie se usi solo quelli tecnici non devi richiedere >l'accettazione, ma devi comunque dedicare una pagina in cui li >descrivi. > Grazie delle tue ampie argomentazioni; mi sembra confermata, almeno per il mio semplice caso d'uso, la sufficienza di un banner che segnala il mancato tracciamento. Ciao > Davide > Grazie ancora, ciao, Giuliano
Re: Ancora sui cookies
Il mer 13 set 2023, 17:40 Beppe Cantanna ha scritto: Ciao Beppe, Scusate ma a me sembra bizzarro che se metto una pagina html statica su > altervista, usando un web server sul quale io non ho il minimo controllo, > debba visualizzare un avviso che dice a un utente di passaggio che il suo > time zone, il suo sistema operativo e il browser con cui si presenta > probabilmente verranno tracciati nel file /var/log/access.log. > > La domanda iniziale era in merito alla necessità di mettere un disclaimer > relativo ai cookie che possono essere utilizzati per gestire la > profilazione dell'utente e riconoscerlo nei suoi vari accessi. I log di > sistema afferiscono a un ambito diverso. > Credo di aver capito il tuo punto di vista circa le diverse figure / situazioni che gestiscono i cookies e gli indirizzi IP e, per quel poco che conta, la condivido. Rimane però il fatto che la lettura della guida(*), come anche altri hanno notato, sembra avere un riferimento più ampio. Confermo, se ricordo bene, che la guida parla anche di 'identificativi' (cookies) depositati sul device dell'utente e altri (indirizzi IP) depositati lato server; quindi una certa diversità di situazioni è presente anche all'estensore della guida. Per chiarezza, la mia nota non era per contraddire la tua interpretazione, non ho le conoscenze adatte e sufficienti; aveva solo l'intenzione di segnalare qualcosa che rischiava di sfuggire alla discussione. Grazie, un saluto, Giuliano (*) Linee guida e altri strumenti di tracciamento - 10 giugno 2021. 2. La funzione dei cookie Il considerando 30 del Regolamento espressamente afferma che “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”. .
Re: Ancora sui cookies
Il mer 13 set 2023, 11:32 Diego Zuccato ha scritto: > Il 12/09/2023 17:45, Matteo Bini ha scritto: > > > In breve, se non salvi gli indirizzi IP di chi visita il tuo sito, non > > usi cookie e non raccogli dati personali, non devi scrivere nulla. > Neppure io sono un legale, ma mi sembra un consiglio pericoloso: per > gestire la richiesta, il server sta trattando un dato personale (l'IP), > per quanto in modo transiente e senza conservarne traccia. > Mettere un'informativa minimale ti mette comunque al riparo (se non > altro puoi dimostrare la buona fede di averci provato), mentre non > mettere nulla può esporre a rischi di contestazioni. > Cominciando a guardare la guida al GDPR 2020(?) sul sito del GDPD (spero di non fare confusione con le sigle:-() ho avuto anch'io l'impressione che il discorso sia più generale; credo di aver capito che la seconda normativa (perché c'è anche l'e-privacy) riguarda qualsiasi abbinamenti fra utente e 'contrassegno' e questo può essere un cookie, ma anche l'IP (mi sembra il cap. 2). Più avanti la guida analizza anche i casi dei cookie (depositati sulla macchina dell'utente) e altri (chiamati 'fingerprinting'), tra cui l'IP, che restano sulla macchina del publisher. A quel punto l'orizzonte mi si è oscurato e mi sono fermato, con il serio dubbio che sia tutto un po' più complesso di quanto immaginavo. L'unico sollievo mi deriverebbe dalla nota che i cookies e gli elementi 'tecnici' necessari alla navigazione sono forse autorizzanti (anche in assenza di consenso?), ma lo dico solo per sapere se almeno ho azzeccato qualcosa o invece l'orizzonte è più buio di quanto temessi. :-(( Per tentare una sintesi pratica: un avviso che: a) non si fa uso di cookies b) i soli dati tracciati possono essere l'indirizzo IP per esigente tecniche c) un bel bottone che l'utente preme per entrare nel sito altrimenti torna indietro (altro dettaglio: mi sembra di aver visto che il consenso deve essere esplicito, il semplice scorrimento della pagina non basta) può funzionare? -- > Diego Zuccato > Grazie infinite a tutti, saluti, Giuliano
Re: [OT] Batteria portatile
Il mer 13 set 2023, 09:36 Alessandro Rubini ha scritto: Ciao a tutti, >> E` frequente chs le batterie orignali siano migliori dei ricambi. Mi > sfugge > >> il motivo, ma posso immaginarne 5 o 6 diversi, quindi si accetta la cosa > >> senza troppa preoccupazione, > > > > . > Non ho argomenti, tecnici e non, da aggiungere, ma da piccole, molteplici esperienze, confermo il dato (minor durata dei ricambi rispetto al prodotto nuovo) Saluti, Giuliano
Re: Ancora sui cookies
Il mar 12 set 2023, 17:46 Matteo Bini ha scritto: > Ciao Giuliano, > Ciao Matteo, ti rispondo per quanto so, in parte per esperienze personali e in parte > lavorative. Però non considerare la mia opinione al pari di quella di un > legale. :D > Va bene :-) > > Se non raccogli nessun dato personale, non sei obbligato a redigere un > documento in cui spieghi come vengono trattati i suddetti. Se usi cookie > di tipo tecnico, quindi anonimi, che non permettano d'identificare > l'utente in maniera univoca, non sei obbligato a pubblicare l'annuncio > dei cookie in prima pagina. Basta che menzioni l'uso di cookie tecnici, > come quello della sessione di PHP, nel documento sul trattamento dei > dati. > > Per quanto riguardo quello che vuoi fare tu, non hai bisogno di > utilizzare alcun cookie, né tanto meno di raccogliere dati personali. > Perciò puoi non scrivere niente sul sito, tranne come gestisci gli > indirizzi IP che spesso vengono salvati nel registro degli accessi del > server web. Tieni presente che puoi disattivare questa funzione e non > registrare niente di chi visita il sito, cosa che consiglio vivamente, a > meno che tu non abbia una ragione contraria. > > In breve, se non salvi gli indirizzi IP di chi visita il tuo sito, non > usi cookie e non raccogli dati personali, non devi scrivere nulla. > > Spero di esserti stato di aiuto. > Si, molto e molto chiaro, grazie. > > -- > Matteo Bini > Ciao, Giuliano > >
Re: Ancora sui cookies
Il mar 12 set 2023, 16:51 Beppe Cantanna ha scritto: > > Il server http di solito registra in un log gli IP e le URL richieste di > tutte le connessioni > > I log del servizio httpd però sono una cosa diversa dalle tracciature > fatte con i coockie. > Le implicazioni? Forse che questo lo esclude dalla normativa sui cookies? > > Ciao > Grazie, ciao, Giuliano
Re: Ancora sui cookies
Il mar 12 set 2023, 16:18 Paolo Redaelli ha scritto: > Il server http di solito registra in un log gli IP e le URL richieste di > tutte le connessioni > -- > Ciao Paolo e grazie, (aggiungo solo per capire di più) uso gunicorn come web server; immagino di dover guardare li per capire cosa fa. Grazie ancora, un saluto, Giuliano
Re: [OT] Batteria portatile
Il mar 12 set 2023, 12:42 Alessandro Baggi ha scritto: > > > > > .. > > > Ciao Giuliano, > Ciao Alessandro, grazie per la risposta. > > Purtroppo le scritte sulla batteria originale sono quasi cancellate. > Come voltaggio viene riportato 10.8 V mentre sulla batteria da 4400mAh > 11.1 V. Può andar bene? > Penso di sì, ma se te lo dessi per certo azzarderei conoscenza che non ho (sentiamo cosa dice anche Alessandro R.); se le scritte sono abrase puoi forse trovare in rete qualche manuale e vedere lì le specifiche dell'alimentazione. Ciao, Giuliano
Re: Ancora sui cookies
Il mar 12 set 2023, 07:14 Diego Zuccato ha scritto: Ciao Diego, In generale, una notifica devi fornirla. Se non altro dichiarando che > l'indirizzo IP può venire loggato. > Grazie, seguirò il consiglio, ma quale applicazione potrebbe loggare l'IP? Io userò fail2ban, ma pensavo di farlo solo su SSH, non sul web dove non faccio alcuna autenticazione, quindi mi sfugge quale altra applicazione possa farlo (come si vede sono un novello in questi settore e cerco di capire ogni volta qualcosa di più :-)) > > Diego > Grazie ancora, ciao, Giuliano
Re: [OT] Batteria portatile
Il mar 12 set 2023, 12:13 Alessandro Baggi ha scritto: > Un saluto a tutta la lista, > mi scuso per l'offtopic. > > Ho un portatile Asus N53SV e la battera è fritta da tempo. Per alcune > necessità sorte in questi giorni mi ritrovo a dover rimpiazzare la > batteria del portatile. > > Sto cercando in rete ma trovo solo batterie a 4400mAh (dove viene > riportato che è compatibile con il modello del portatile) mentre su > quella originale viene riportato 5200mAh. > > Nel caso dovessi acquistare quella da 4400 mAh, vado incontro a problemi? > Credo di no, il dato fornito indica solo una capacità inferiore di fornire energia nel tempo, cioè una durata inferiore, ma se gli altri parametri (voltaggio e amperaggio) collimano non dovresti avere problemi > > Grazie in anticipo > Aspetta qualche conferma più esperta, ciao, Giuliano
Ancora sui cookies
Ciao, prima di porre in lista alcune domande (lo farò in un prossimo msg :-))) mi sono preoccupato di verificare che l'argomento non fosse già stato trattato. Nella lettura delle mail archiviate mi sono imbattuto in un thread, allora no, ma ora di mio interesse ("Gestione cookies" di Davide Prina del 19 maggio 2020) che resuscito. La domanda è questa: a) espongo su web una semplice form per consentire all'utente di interrogare un archivio b) trasmetto la risposta ottenuta c) NON sono interessato a conoscere nulla dell'utente (nome, genere, nazionalità, età, ecc.) e quindi non registro alcun dato riguardante l'utente d) devo verificare se ci eventuali cookies di "sistema" (già una domanda: dove controllare con BOTTLE.py ?) Questione principale, sono tenuto: 1) a fare nulla? 2) dichiarare che non faccio uso dei cookies? 3) a pubblicare cmq la notifica come indicato ad es. in cookiesConsent? Grazie, saluti, Giuliano Curti.
Fwd: telecamere ip
Chiedo scusa per la fretta, sbagliato destinatario :-( Approfitto per aggiungere: 1) motion e motionPlus di motion-project 2) non necessitano di accessori per la connessioni, basta un cavo ethernet e l'alimentazione; se le prendi POE (non costano di più) basta il cavo 3) anch'io mi riferivo a telecamere esterne. -- Forwarded message - Da: Giuliano Curti Date: lun 28 ago 2023, 14:55 Subject: Re: telecamere ip To: Luca Sighinolfi Il lun 28 ago 2023, 14:23 Luca Sighinolfi ha scritto: > Buongiorno a tutti, > Ciao Luca, forse sono un po' OT. > Nel caso mi perdonerete e magari potete scrivermi in privato. > Rispondo qui, nel caso ci bannano in due :-) Ho un banale impiantino di video sorveglianza con 3 telecamere ip, che > registrano su un desktop con Debian. > E' giunto il momento, dopo 9 anni, di cambiare le telecamere e quindi > chiederei un consiglio a riguardo. > Non sono consigli i miei, solo condivisione di esperienze. In particolare non vorrei fare l'errore di acquistare telecamere che > sono accessibili solo da IE, come quelle attuali. > Io ho preso 4 telecamere di produttori diversi e da rivenditori diversi, tutte di rete; le ultime le ho prese POE: semplifica di molto il cablaggio. Tutte gestibili da Linux (Raspberry Pi OS); l'unico problema è individuare l'URL di connessione; al riguardo si è rivelato molto utile il sito ispyconnect.com? .org? (Se non lo individui guardo meglio). E non vorrei nemmeno acquistare un DVR. > Avendo un PC sempre acceso mi appoggerei a quello, con semplici script > per la registrazione dei video (zoneminder a suo tempo non sono riuscito > a farlo andare...). > Io sto usando motion; ho ancora qualche difficoltà a gestire gli alarm, troppi falsi positivi, ma il sistema sembra funzionare. Volevo provare la nuova versione motionPlus, ma banali problemi di configurazione della rete locale (problemi che non ho ancora capito e risolto, magari vi romperò l'anima) me lo hanno impedito; dovrebbe avere il vantaggio di impiegare una sola porta per tutto e non 1 porta + 1 per camera. Chiaramente il budget non è infinito, ma neppure chiedo che costino meno > di 50€ ciascuna. > Prezzi da €30 a €65 (se vuoi ti posso dire in pvt marche e modelli). Grazie per i suggerimenti > Ciao > -- > Luca Sighinolfi > Ciao, se metti in circolo qui o anche in pvt le tue esperienze mi fa piacere, Giuliano
Re: fail2ban
Il mer 26 lug 2023, 09:30 Paride Desimone ha scritto: Ciao Paride, provo a risponderti con la premessa che non sono risposte "assertive", bensì "dubbiose". In ogni caso ho attinto da fail2ban.org/manual. Il 25-07-2023 15:10 Giuliano Curti ha scritto: > > Il mar 25 lug 2023, 15:48 Paride Desimone ha > > scritto: > > > > . > > > > Se precisi meglio il tuo dubbio diventa più facile risolvere :-) > > > > Mi serve che dopo tre tentativi di log errati "ERROR logapache..." banni > l'ip associato. Il numero di tentativi dovrebbe essere controllato dal parametro maxretray, quindi nel tuo caso dovrebbbe essere maxretray = 3. Mi sembra (ma questa è più una domanda che risposta) funzioni in sincrono con findtime, cioè se vengono superati "maxretray" nel periodo "findtime"; nel tuo caso dovresti mettere un findtine molto alto, tipo findtine = 86400 (1 giorno) o forse omettere del tutto il parametro findtime; leggendo un articolo in rete mi è venuto questo dubbio. Volendo agire su Apache penso devi semplicemente attivare la/a jail già predisposta/e, cmq in rete (ad es. DigitalOcean.org/How To Protect an Apache Server", per quanto vecchio, o xmodulo.com/How to configure fail2ban to protect Apache HTTP server) trovi esempi di configurazione; peraltro ho visto che le protezioni con Apache sono molteplici. > > /paride > Spero ti sia di aiuto, ciao, Giuliano
Re: fail2ban
Il mar 25 lug 2023, 15:48 Paride Desimone ha scritto: Ciao Paride, Qualcuno che usa file2ban? Mi occorrerebbe una mano sulla configurazione > del ban (ipv6 ed ipv4) dopo tre tentativi sbagliati di login su http ed > https, porte 80 e 443. > Quesato è quello che dobrei bannare dopo tre tentativi errati: > > 2023-07-25 14:21:47 ERROR logapache [16387]: [:::10.10.253.22] > Failed authentication for user u'pippo' > L'avevo usato tempo fa per un'applicazione casalinga (non sono un amministratore di rete). Quello che dici tu dovrebbe farlo automaticamente; mi sembra di ricordare che tu possa settare la soglia (quanti tentativi in quanto tempo) e la durata dell'espulsione, ma sto andando un po' a tentoni. Se precisi meglio il tuo dubbio diventa più facile risolvere :-) /paride > Ciao, Giuliano
Re: Altra domanda da niubbio sulle reti.
Il lun 17 lug 2023, 17:59 Diego Zuccato ha scritto: > Il nesso è che un certificato riporta il nome DNS con cui il servizio > viene raggiunto. > Letsencrypt usa (o, meglio, può usare) il DNS per verificare che il > richiedente abbia effettivamente il controllo del nome che richiede di > riportare nel certificato. Altrimenti chiunque potrebbe ottenere un > certificato valido per google.it :) > > Quindi, nel caso di un server web, un prerequisito per ottenere un > certificato da LE è che il DNS risolva correttamente il nome del sito > (oltre, ovviamente, all'avere un server web attivo e raggiungibile..). > Non puoi (a quanto mi risulta) ottenere un certificato per un IP numerico. > Si, hai ragione; mi limitavo a considerare il DNS come semplice risolutore di indirizzi; mi era sfuggito che diventa anche garante che quel dominio è nelle mie disponibilità. > > Diego > Grazie a te ed a Angelo della precisazione, Giuliano
Re: Altra domanda da niubbio sulle reti.
Il lun 17 lug 2023, 10:55 Diego Zuccato ha scritto: > Il 04/07/2023 09:36, Giuliano Curti ha scritto: > Ciao Diego, > > > Alessandro, temo che in questo momento non affronterò l'argomento DNS; > > ho purtroppo un problema più stringente, passare dall'http al'https. > > Le due cose sono strettamente correlate, soprattutto se usi Letsencrypt > (caldamente raccomandato!). > .oopsss ... qui qualcosa non mi torna, meglio approfondire (se si va :-) il DNS lo vedo come un metodo per abbinare un indirizzo human-readable con un indirizzo numerico e questo dovrebbe essere risolto dal provider ddns. Letsencrypt dovrebbe essere un'autorità di accreditamento dei certificati da esibire per l'https; mi sfugge il nesso fra le due cose: qual'è? Purtroppo però ho scoperto (abbastanza facilmente ahimè) lacune precedenti che devo sanare: ad es. la differenza fra "working directory" e "root directory" di cui parla il Tutorial di Bottle.py, al cap. "Routing static files". > > -- > Diego Zuccato > Grazie infinite, ciao, Giuliano
Re: Fwd: Altra domanda da niubbio sulle reti.
Il dom 16 lug 2023, 14:44 Davide Prina ha scritto: > Giuliano Curti ha scritto: > Ciao Davide, è un piacere risentirti (anche se lurko sempre i tuoi post藍) > > > 3) a me interessa avere un nome di dominio in modo tale che > >digitandolo nella casella del browser accedo al sito > > se vuoi che ti succeda solo dal tuo PC o dai tuoi PC, allora > puoi usare il file /etc/hosts > > inserisci una riga con > $IP $Dominio [...] > > es: > 127.0.0.1 www.debian.org Credo che qui tu ti riferisca ad una lan, io invece mi riferivo ad una wan; nel secondo caso l'indirizzo non è noto ai terzi, deve essere risolto appunto dai siti ddns. Purtroppo la discussione si è frazionata e, magari per colpa mia, si è perso il filo. In quella stavo chiedendo se l'abbinamento indirizzo ip - nome di host che vedevo nel router poteva equivalere al servizio no-ip.org che avevo attivato (mi era stato risposto di no) Ciao > Davide > Grazie, ciao, Giuliano
Re: Altra domanda da niubbio sulle reti.
Il gio 6 lug 2023, 14:49 MAURIZI Lorenzo ha scritto: > Ciao, > Ciao Lorenzo > 6) prima di rispondere mi sono sincerato; digitando "ping > host-xx.retail.telecomitalia.net" ottengo risposta; questo > sembrerebbe risolvere i nomi nel senso che desidero io > > > > Quel “Host-x….” se non sbaglio contiene l’indirizzo IP (magari > inserito con gli ottetti rovesciati dall’ultimo al primo) e quindi se per > caso spegnerai il modem e lo riaccenderai, avrai un nuovo IP e quindi un > nuovo “host-xx…” e quindi avrai perso la possibilità di avere un > indirizzo immutabile, che invece il DDns ti permette in quanto c’è un > servizio (che a volte gira dentro il modem) che ad ogni cambio di IP > pubblico comunica alla ditta che gestisce il DDNS il cambio di IP per quel > nome a dominio (o FQDN). > Si, vero; non ci avevo pensato; a quel punto anche la seconda domanda trova risposta (cioè diventa superflua) > Spero di aver aggiunto qualcosa alla discussione, non ho visto risposte a > questi interrogativ > Si, mi hai chiarito un punto > Saluti da Lorenzo > Grazie, ciao, Giuliano >
Re: Altra domanda da niubbio sulle reti.
Il mar 4 lug 2023, 07:08 Alessandro Rubini ha scritto: > Giuliano, ho riceuto la risposta ma era indirizzata solo a me: > Ciao Alessandro, mio pasticcio, scusa, ho cercato di rimediare tardivamente. :-( > > > From: Giuliano Curti > > To: Alessandro Rubini > > Subject: Re: Altra domanda da niubbio sulle reti. > > Date: Mon, 3 Jul 2023 23:30:45 +0200 > > Il contenuto, pero`, sembra indicare una risposta alla lista: > Avevi capito bene :-) > > > Grazie Alessandro e Leonardo e si e` aggiunto anche Guido; > > In ogni caso, abbozzo una risposta. > > > 3) a me interessa avere un nome di dominio in modo tale che > > digitandolo nella casella del browser accedo al sito (non so se > > questa e` la risoluzione normale o inversa) > > Normale. Per sapere dove sta Giuliano Curti chiedo a nonno curti, che > tutto sa dei suoi familiari. In realta`, prima nonno curti si e` > > Adesso ho un po' più chiara la situazione, grazie delle delucidazioni. Comunque immagino che in rete si trovino ottimi tutorial sul dns. Che > pero` sono difficilmente identificabili in mezzo ai tanti pessimi tutorial. > Alessandro, temo che in questo momento non affronterò l'argomento DNS; ho purtroppo un problema più stringente, passare dall'http al'https. Mi sa che romperò prossimamente con openssl e dintorni. Grazie cmq a te, Leonardo, Guido, Marco per i preziosi suggerimenti; spero un giorno di poter ricambiare. A presto, Giuliano
Fwd: Altra domanda da niubbio sulle reti.
Chiedo scusa, Alessandro mi ha fatto notare che avevo risposto, per errore, solo a lui. Reinoltro qui per informazione di tutti, scusandomi ancora della negligenza Grazie, saluti, Giuliano -- Forwarded message - Da: Giuliano Curti Date: lun 3 lug 2023, 23:30 Subject: Re: Altra domanda da niubbio sulle reti. To: Alessandro Rubini Il lun 3 lug 2023, 13:38 Alessandro Rubini ha scritto: Grazie Alessandro e Leonardo e si è aggiunto anche Guido; scusate, ma le risposte sono al di sopra del mio target. 1) io so che un indirizzo per essere raggiunto dall'esterno deve essere publico ed il mio lo è; 2) però lo suppongo dinamico perché non ho mai acquistato ip fissi da Telecom, ho un contratto adsl casa 3) a me interessa avere un nome di dominio in modo tale che digitandolo nella casella del browser accedo al sito (non so se questa è la risoluzione normale o inversa) 4) con un ip pubblico ma dinamico so che devo acquisire un servizio ddns e così ho fatto con un noto provider in modo che mi garantisca l'allineamento del dominio con l'IP dinamico 5) il dubbio mi è venuto quando ho visto associato, nel router TIM, quell'indirizzo con quello che sembra un nome di dominio 6) prima di rispondere mi sono sincerato; digitando "ping host-xx.retail.telecomitalia.net" ottengo risposta; questo sembrerebbe risolvere i nomi nel senso che desidero io 7) rimane però la seconda parte della domanda: poiché host-xx-xx-xx-xx non è esattamente human readable per gli utenti che intendo servire, occorrerebbe poter cambiare quel nome (potrei "provare" a cambiarlo e vedere cosa succede, ma ho sempre paura di rompere qualcosa pigiando i tasti a cavolo sulla tastiera ) Grazie ancora, saluti, Giuliano
Re: Altra domanda da niubbio sulle reti.
...oopss Mi rendo perfettamente conto che sono completamente OT, "giustificato" (si fa per dire) dal fatto che sto operando in Debian (Raspberry Pi OS per l'esattezza). Spero di non aver stra-abusato della cortesia della comunità, mi scuso se del caso. G. Il lun 3 lug 2023, 12:23 Giuliano Curti ha scritto: > Buongiorno, > > domanda retorica in realtà, perché in qualche modo ho già provveduto con > un dominio su noip.com, ma la risposta mi aiuterebbe a capire qualcosa di > più in questo mondo a me ignoto, ma affascinante. > > Mi riferisco alla registrazione di un dominio di terzo livello da abbinare > al servizio di dns dinamico fornito da quel provider. > > Nel configurare il router ho visto che l'indirizzo pubblico del mio ip è > dotato di un nome; questo compare anche nella risposta al ping; se infatti > eseguo da remoto "ping mioDominio.ddns.net" ottengo nella risposta "64 > bytes from host-xx-xx-xx-xx.retail.telecomitalia.it (xx.xx.xx.xx): > icmp_seq=1 ttl=50 time=77.8 ms". > > Questo significa che la possibilità di dns dinamico è già prevista nel > router? > Nel caso il nome di dominio "host-xx-xx-xx-xx" potrebbe essere modificato > in un nome a me più consono? > > Grazie, daluti, > Giuliano >
Altra domanda da niubbio sulle reti.
Buongiorno, domanda retorica in realtà, perché in qualche modo ho già provveduto con un dominio su noip.com, ma la risposta mi aiuterebbe a capire qualcosa di più in questo mondo a me ignoto, ma affascinante. Mi riferisco alla registrazione di un dominio di terzo livello da abbinare al servizio di dns dinamico fornito da quel provider. Nel configurare il router ho visto che l'indirizzo pubblico del mio ip è dotato di un nome; questo compare anche nella risposta al ping; se infatti eseguo da remoto "ping mioDominio.ddns.net" ottengo nella risposta "64 bytes from host-xx-xx-xx-xx.retail.telecomitalia.it (xx.xx.xx.xx): icmp_seq=1 ttl=50 time=77.8 ms". Questo significa che la possibilità di dns dinamico è già prevista nel router? Nel caso il nome di dominio "host-xx-xx-xx-xx" potrebbe essere modificato in un nome a me più consono? Grazie, daluti, Giuliano
Re: Piccolo aiuto....di rete
Il sab 1 lug 2023, 10:15 Diego Zuccato ha scritto: > Il 01/07/2023 10:06, Giuliano Curti ha scritto: > > > .. > > Potrebbe essere che hai usato altre schede o che hai "migrato" il > sistema da altre macchine? > > E' una vita che non mi capita, ma ricordo un file (per udev?) che teneva > traccia dei MAC address per assegnare sempre lo stesso nome alla scheda. > Non dovrebbe, però Guarderò udev, cmq se non dà disturbi lo considero un problema estetico da rinviare al futuro :-) Riguardo all' "esperto" in chiusura della mail precedente, guarda che per me sei (siete) guru :-) :-) -- > Diego Zuccato > Grazie ancora, ciao, Giuliano
Re: Piccolo aiuto....di rete
Il sab 1 lug 2023, 09:42 mauro morichi ha scritto: > > Il 01/07/2023 00:17, Giuliano Curti ha scritto: > > > > > Devi dire al dhcp di turno di non rompere le scatole sulle interfacce ove > e' gia attivo un altro dhcp e per isc-dhcp-server la strada corretta e' > quella che hai trato. > La rete principale sarebbe la 192.168.1.0/24 in cui è DHCP server il router adsl (la macchina in questione è un DHCP client collegato con wlan0); quella che voglio allestire è la 192.168.0.0/24; la macchina in questione dovrebbe essere il DHCP server di questa attraverso la eth2(*); così non ci dovrebbero essere confusioni sui ruoli, spero. Peraltro come ho detto sopra, la wlan0 mi si è "rotta" per cui in realtà al momento esiste solo la seconda rete. ... > > 2: ... ma va detto al server dhcp che deve distribuire una classe di > ip compatibili con la rete che hai definito per eth0. > Questo come? Non basta la direttiva "range 192.168.0.2 181.168.0.250" nel blocco subnet {} di /etc/DHCP/dhcpd.conf? > 3: occhio che tu non abbia attivo un firewall che blocchi tutte le > connessioni in ingresso, altrimenti il server dhcp non sara' in grado di > ricevere le richieste dai client. > No, non dovrebbe, controllerò. > M. > (*) Ulteriore stranezza (per me): ho una sola interfaccia cablata a bordo, ma la nomina eth2 e non eth0; io ho utilizzato eth2 nelle configurazioni (interfaces e dhcpd.conf) ma non ne capisco il perché né dove devo eventualmente modificare per avere la nomenclatura normale. Grazie, ciao, Giuliano
Re: Piccolo aiuto....di rete
Il sab 1 lug 2023, 09:46 Giuliano Curti ha scritto: > Il sab 1 lug 2023, 07:41 Giancarlo Martini ha > scritto: > > Ciao Giancarlo, grazie > >> >> Aggiungo due cose, la prima che ti conviene utilizzare il 'privati', >> > > ..oopss... dove trovo quella direttiva; in tutti i manuali di dhcp.conf mi > è sfuggita > > ..la seconda che i client della rete b devono essere configurati per >> inviare la richiesta di DHCP. Ma probabilmente lo sapevi già >> > > Da quel lato temo di poter fare poco, sono telecamere; sono però > ragionevolmente sicuro, avendole fatte funzionare in passato, che hanno un > dhcp-client a bordo perché ricevono l'IP. > > -- >> Giancarlo Martini >> > > Grazie, ciao, > Giuliano > >
Re: Piccolo aiuto....di rete
Il sab 1 lug 2023, 07:48 Diego Zuccato ha scritto: Ciao Diego, grazie Intanto controlla di non avere in /etc/dhcp/dhcpd.conf una riga: > deny unknown-clients; > o: > ignore unknown-clients; > No, non c'è > > o assegni indirizzi solo ai client per i quali crei una sezione: > host nomeclient {hardware ethernet 00:11:22:33:44:55; } > (dentro le graffe puoi avere anche altro, tipo 'fixed address > 192.168.1.23;' se vuoi assegnargli un IP statico). > È il prossimo passo cui pensavo; domanda: quell'isteruzione deve stare dentro un blocco subnet {} o fuori? > > Poi verifica anche di avere definito una sezione 'subnet' per la rete > dove vuoi assegnare indirizzi: > subnet 192.168.1.0 netmask 255.255.255.0 { > authoritative; > range 192.168.1.2 192.168.1.254; > option routers 192.168.1.1; > option domain-name "my.home"; > option domain-name-servers 192.168.33.250; > option time-servers 192.168.1.1; > option ntp-servers 192.168.1.1; > } > > Con questo dovrebbe assegnare. > Mi mancano queste due ultime istruzioni che non avevo visto indicate nei tutorial che ho consultato; terrò presente. > > Diego > Grazie, ciao, Giuliano
Re: Piccolo aiuto....di rete
Il sab 1 lug 2023, 07:41 Giancarlo Martini ha scritto: Ciao Giancarlo, grazie > > Aggiungo due cose, la prima che ti conviene utilizzare il 'privati', > ..oopss... dove trovo quella direttiva; in tutti i manuali di dhcp.conf mi è sfuggita ..la seconda che i client della rete b devono essere configurati per > inviare la richiesta di DHCP. Ma probabilmente lo sapevi già > Da quel lato temo di poter fare poco, sono telecamere; sono però ragionevolmente sicuro, avendole fatte funzionare in passato, che hanno un dhcp-client a bordo perché ricevono l'IP. -- > Giancarlo Martini > Grazie, ciao, Giuliano
Re: Piccolo aiuto....di rete
Eccomi con un po' più di calma Il ven 30 giu 2023, 21:40 mauro morichi ha scritto: > > Il 30/06/2023 21:21, Giuliano Curti ha scritto: > > quello che mi sfugge è l'istruzione per dirgli di operare il suo suolo > > di server sulla rete appesa alla eth0. > > > nulla di piu' semplice. > > ti dico i passaggi che farei io, non ti dico i passaggi pratici, semmai > ci entriamo in un secondo tempo > > 1 (gia' lo hai fatto, la wlan e' connessa al router) > Si, il mio dhcp server è "client" attraverso la wlan0 di un'altra rete (router adsl); purtroppo non funziona più, si è rotto qualcosa nell'installare isc-dhcp-server, ma al momento non è la mia preoccupazione > > 2: sul pc abilita la possibilita' di far navigare chi arriva dalla eth > (quindi forwarding e iptables ). eth0 statica (scegli tu una classe di > ip (diversa da quella della wlan) che servira' per tutto. > Sul PC in questione non credo attivo iptables, cmq controllerò > > 3: installa un dhcp server e un dns forwarder (in modo che i client > ricevano un ip, sappiano a quale gateway far riferimento e soprattutto > sappiano fare una ricerca DNS). in questo caso studiati un prodotto come > dnsmasq, funzionale, semplice e adattissimo al tuo scopo. > Questo al momento lo evito perché i client della rete che sto allestendo non hanno bisogno di andare via in rete (videocamere) > > 4: eventuali servizi server (condivisione di file, in primis, ma pure > stampanti e l'appetito vien mangiando): fondamentale che rispondano solo > alle richieste provenienti dall eth. > Idem. Come già detto, ho settato con indirizzo statico la ethX in /etc/network/interfaces e messo interfaces="ethX" in /etc/default/isc-dhcp-server; il demone si è avviato senza apparenti errori. Grazie, ciao, Giuliano
Re: Piccolo aiuto....di rete
Il ven 30 giu 2023, 21:40 mauro morichi ha scritto: Ciao Mauro, grazie del riscontro che mi studierò con attenzione perché per me non è banale. Al quesito che ponevo forse ho trovato risposta (risposta che in realtà è domanda in attesa di conferma :-) Occorre inserire la direttiva interfaces="ethX" in /etc/default/isc-dhcp-server (e assegnato un indirizzo statico a quelll'interfaccia in /etc/network/interfaces); dopo dell'istruzione il demone è partito senza dare l'errore che dava in precedenza (il fatto che poi non ha distribuito gli indirizzi come mi aspettavo vuol dire che c'è dell'altro che devo ancora imparare :-) grazie ancora Mauro e a tutti, mi sa che tornerò sul problema, saluti, Giuliano > Il 30/06/2023 21:21, Giuliano Curti ha scritto: > > quello che mi sfugge è l'istruzione per dirgli di operare il suo suolo > > di server sulla rete appesa alla eth0. > > > nulla di piu' semplice. > > ti dico i passaggi che farei io, non ti dico i passaggi pratici, semmai > ci entriamo in un secondo tempo > > 1 (gia' lo hai fatto, la wlan e' connessa al router) > > 2: sul pc abilita la possibilita' di far navigare chi arriva dalla eth > (quindi forwarding e iptables ). eth0 statica (scegli tu una classe di > ip (diversa da quella della wlan) che servira' per tutto. > > 3: installa un dhcp server e un dns forwarder (in modo che i client > ricevano un ip, sappiano a quale gateway far riferimento e soprattutto > sappiano fare una ricerca DNS). in questo caso studiati un prodotto come > dnsmasq, funzionale, semplice e adattissimo al tuo scopo. > > 4: eventuali servizi server (condivisione di file, in primis, ma pure > stampanti e l'appetito vien mangiando): fondamentale che rispondano solo > alle richieste provenienti dall eth. > > > >
Piccolo aiuto....di rete
Buonasera a tutti. Cresciuto nella lontana era del personal computing la rete è il mio tallone di Achille. Ho una macchina dual-homed (si dice così?) con una wlan0 ed una eth0; la wlan0 la collega ad una lan gestita dal router dove la macchina in questione si comporta da client ricevendo l'ip dal router. La eth dovrebbe supportare una seconda lan di cui la macchina in questione dovrebbe fare da DHCP server. Vi risparmio i dettagli della configurazione che verificherò da solo; quello che mi sfugge è l'istruzione per dirgli di operare il suo suolo di server sulla rete appesa alla eth0. Grazie, un saluto, Giuliano PS: opero su un pc farlocco con una vecchia Debian 10; il server è isc-dhcpd-server.
Re: ot_ nextcloud
Il gio 9 mar 2023, 21:54 Paride Desimone ha scritto: > Il 9 marzo 2023 17:58:17 UTC, gerlos ha scritto: > >Il 07/03/23 15:24, Paride Desimone ha scritto: > >> Buongiorno all. > Ciao a tutti; >> Qualcuno sa come convertire un db mysql di nextcloud in postgresql? > ... > >> Premesso che non sono un esperto di PG/ MySql, mi sembra di ricordare si possa fare un dump del db (dovrebbe averlo ogni motore DB); il database viene interamente riscritto in linguaggio SQL in un file; il secondo motore DB dovrebbe ricostruire da lì l'intero database; sono relativamente sicuro per tabelle, chiavi, ecc. Non so effettivamente cosa succeda con trimmer, procedure, ecc. Immagino ci sia una lista di utilizzatori PG da coinvolgere; in assenza puoi trovare ottimo conoscitori di PG sulla lista QGIS / GFoss italiana. Ciao, Giuliano
Re: FAI e dischi "intrusi"
Il mar 17 mag 2022, 10:18 Felipe Salvador ha scritto: Scusate l'"intrusione" (cmq in argomento con i dischi del titolo...) On Mon, May 16, 2022 at 11:35:03AM +0200, Diego Zuccato wrote: > > Ciao Marco. > > > > Il 16/05/2022 10:29, Marco Ciampa ha scritto: > >... > > La nomenclatura che io ricordi vuole canale>partizone > sda1, sda2, sdb1, sdc1, sdc2, sde1, sdf1 [..] > Felipe stai confermando il formato sdXN dove la cifra N rappresenta la partizione ed il carattere X rappresenta il disco (canale); ma i caratteri A-Z sono 26 (alfabeto inglese) e qui si sta parlando di 30 e oltre dischi; quello schema non funziona più, ci deve essere per forza qualcosa di diverso, forse sdXXN? Saluti -- Felipe Salvador Ciao, Giuliano
Re: KDE, tramite QT, potrà fornire pubblicità nei suoi applicativi
Il lun 24 gen 2022, 18:28 Davide Prina ha scritto: > QT permetterà di inserire pubblicità negli applicativi realizzati con > tale infrastruttura[¹]. ... > > Io sono contrario a tale scelta e spero che Debian rimuova questa > possibilità da QT o da applicativi che implementino tale metodo. > +1 Ciao > Davide > Grazie, ciao, Giuliano
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il dom 17 ott 2021, 00:04 Paride Desimone ha scritto: Ciao Paride, grazie del suggerimento; Il 05-10-2021 10:23 Giuliano Curti ha scritto: > > Il lun 4 ott 2021, 22:04 Mauro ha scritto: > > > >> . > > > > Riassumo, senza ripetere, le domande che avevo posto: > > 1) la disabilitazione dell'accesso per password rende SSH > > . > > Te la butto lì. E se a ssh ci affiancassi una VPN? > Francamente era l'idea di partenza, ma la rete per me è un terreno sconosciuto ed ogni passo in più è terribilmente faticoso. Dovrei aver chiuso SSH accettando solo connessioni con chiave; ho messo fail2ban a guardia con le regole di default su SSHD e con una regola autocostruita per MOTION che mi dovrebbero tenere al riparo da attacchi brute force. Al momento ho rinunciato ad attivare OpenSSL perché l'impressione che ho avuto è che MOTION se ne serve solo per autenticare il server, non il client (studierò il reverse proxy tramite apache/nginxcome suggerito da qualcuno). Se non ci sono problemi particolarmente critici sperimenterei così, senza disdegnare ovviamente miglioramenti futuri quando avrò una maggiore padronanza della rete. Paride Grazie, ciao, Giuliano >
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
..oopss sul primo punto mi rispondo da solo Il ven 8 ott 2021, 23:11 Giuliano Curti ha scritto: > ... > > On 10/6/21, Diego Zuccato wrote: > > Il 06/10/2021 11:16, Giuliano Curti ha scritto: > > > > ho fatto una prova (in locale) e sembra funzionare, solo però per la porta > del webcontrol di motion, non riesco a reindirizzare le porte delle > telecamere, ammesso sia possibile; > ho visto che nella stessa istruzione si possono reindirizzare più porte; vedrò se questo risolve il problema. Chiedo scusa dell'inutile disturbo, grazie, saluti, Giuliano
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Ciao a tutti, scusate se riprendo questo discorso, ma nel mio faticoso viaggio nelle reti ogni tanto mi imbatto in qualche ostacolo ostico; ho deciso di sperimentare, prima di approcciare il reverse proxy, il tunneling SSH, come suggerito da On 10/6/21, Diego Zuccato wrote: > Il 06/10/2021 11:16, Giuliano Curti ha scritto: > > ... > > . Inizia quindi pensando a cosa ti serve fare e a quanto > vuoi che sia comodo. P.e. se devi solo poter accedere *tu* da remoto > alle telecamere, ti conviene esporre solo il servizio SSH. Quando vuoi > vedere qualcosa, ti colleghi via SSH (che ti autentica con la tua > chiave) e apri un tunnel ("-L localport:remotehost:remoteport") per > poter accedere a remotehost:remoteport collegandoti a localhost:localport. > Non è il massimo della comodità, però un malintenzionato dovrebbe poter > bucare ssh, che è molto più blindato (credo e spero :) ) di ogni altro > servizio che si possa far girare... ho fatto una prova (in locale) e sembra funzionare, solo però per la porta del webcontrol di motion, non riesco a reindirizzare le porte delle telecamere, ammesso sia possibile; ho provato anche a reindirizzare le porte delle una camere una alla volta, ma purtroppo qui il metodo fallisce, non riesco a visualizzare lo stream della camera: non capisco quale sia la differenza che rende possibile uno e impossibile l'altro. Ho fatto anche un altro esperimento: ho fatto l'X forwarding e riesco a lanciare il browser di rPi4 e vedo tutto (finora ho sperimentato in locale); per metterlo a regime dovrò installare un X server su Android e iOS; pensate sia una soluzione praticabile? Avete suggerimenti su Xserver da installare nei due casi? O forse è meglio che mi oriento subito sul reverse proxy che suggeriva qualcuno? spero di aver formulato con chiarezza contesto e quesiti; grazie dell'attenzione, saluti, giuliano
Re: Port forwarding
Il gio 7 ott 2021, 14:59 Thomas Iezzi ha scritto: > mi intrometto solo per segnalare che Fastweb rilascia ip pubblici > gratuitamente: mi hanno dato un ip pubblico gratis, e in tempi rapidi. > Aggiungo solo la mia esperienza personale; SIM con un provider di recente introduzione sul mercato (almeno per quel che so io): indirizzo nattato senza alternativa; Ho saputo di un provider leader nazionale che rilasciava contratti annuali con sim appositi per sistemi remoto; avuta conferma presso un centro di vendita ho acquistato, ritrovandomi poi un indirizzo nattato; numerose interlocuzioni telefoniche, ma, nonostante le assicurazioni ricevute, indirizzo sempre nattato; intervento con punto di vendita e problema risolto, contratto non business; Probabilmente non hanno una politica chiara e consolidata. > Thomas > Grazie, ciao, Giuliano
Re: Port forwarding
Il gio 7 ott 2021, 07:54 Marco Ciampa ha scritto: Ciao Marco, grazie; On Fri, Sep 17, 2021 at 10:53:41AM +0200, Paolo Redaelli wrote: > > 10.x.x.x è privato. La tua telecamera è dietro ad un doppio NAT. > > Potresti ancora cavartela con sidedoor, ma rimarrebbe comunque un > accrocchio > > La butto lì, non sono un esperto: forse riusciresti usando ipv6 ... > È una provocazione? Sto scherzando, ma non conosco ipv4 e quello che proponi è al di là dell'oceano Cmq il problema è superato; il provider, dopo diverse insistenze (tese solo a fargli rispettare gli impegni) mi ha fornito un ip pubblico e quindi ora riesco a raggiungere dall'esterno la mia macchina; Grazie ancora, ciao, Giuliano PS: nei miei rimaneggiamenti è saltata la tua firma, scusa. > > >
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il gio 7 ott 2021, 08:16 MAURIZI Lorenzo ha scritto: > ... > > È proprio l'autenticazione del client che mi interessa; non hai qualche > hint per poter indirizzare in modo produttivo la mia lettura? > > > > Su questo punto non sono molto preparato, non mi è mai capitato di dover > implementare una autenticazione del genere. > > Però qui, secondo me, esce anche un’altra questione: l’autenticazione deve > anche arrivare all’applicazione, in modo da rilevare chi è che si collega e > dare le giuste autorizzazioni a quel tale utente. > .. > > si mette davanti a Motion un server web (Apache, nginx) che fa da reverse > proxy, si configura per fare autenticazione con certificato, poi viene > presentata l’autenticazione di motion e lì si dovrà fare un altro login con > user e password. > ..azz... L'affare si complica; verrebbe da dire "piatto ricco, mi ci ficco", ma non sono un pockerista Questa potrebbe essere una guida per configurare l’autenticazione SSL in > Apache: > http://www.stefanocapitanio.com/configuring-two-way-authentication-ssl-with-apache/ > > Oppure per nginx: > https://www.ssltrust.com.au/help/setup-guides/client-certificate-authentication > > Ciao da Lorenzo > Grazie infinite Lorenzo; appena in grado seguirò le tue indicazioni, ciao, Giuliano >
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il mer 6 ott 2021, 13:29 Diego Zuccato ha scritto: Ciao Diego, grazie; Il 06/10/2021 11:16, Giuliano Curti ha scritto: > > ... > > user:passwd o con TLS. > Opinione personale: lascia perdere user+pass e punta solo su TLS. > Bene, terrò presente. Aggiungo, correggendo quando detto prima, che MOTION consente anche l'autenticazione MD5 Digest; > . fosse così > > lascerei perdere perché non è questo il mio obbiettivo e un > > malintenzionato non sarebbe assolutamente interessato a sapere se il mio > > server è autenticato o meno. > Dipende cosa intendi per sicurezza. SSL cripta le connessioni, permette > di garantire che le parti sono chi dicono di essere e che i pacchetti > non sono stati alterati in transito. > Penso sia la prima parte che mi interessa: la garanzia che le parti, in particolare il client, sono chi dicono di essere mi dovrebbe mettere al sicuro da malintenzionati; mi sembra quello che diceva Lorenzo, devo capire dove approfondire; Chiaramente, se esponi un servizio insicuro (p.e. che permette > esecuzione di codice arbitrario da parte di un utente non autenticato) > questo rimarrà insicuro. > Questi lo capisco, ma questo dipende dalla qualità dell'applicativo (MOTION); io temo di poter fare poco; . Inizia quindi pensando a cosa ti serve fare e a quanto > vuoi che sia comodo. P.e. se devi solo poter accedere *tu* da remoto > alle telecamere, ti conviene esporre solo il servizio SSH. Quando vuoi > vedere qualcosa, ti colleghi via SSH (che ti autentica con la tua > chiave) e apri un tunnel ("-L localport:remotehost:remoteport") per > poter accedere a remotehost:remoteport collegandoti a localhost:localport. > Non è il massimo della comodità, però un malintenzionato dovrebbe poter > bucare ssh, che è molto più blindato (credo e spero :) ) di ogni altro > servizio che si possa far girare... > Grazie di questa indicazione; non la conosco, cercherò di approfondire. Intanto ho disabilitato la connessione con password; Diego Zuccato Grazie, ciao, Giuliano > >
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il mer 6 ott 2021, 12:05 MAURIZI Lorenzo ha scritto: Ciao Lorenzo, grazie; ... · Autenticazione del client più crittografia della comunicazione con il server web . Spero di aver risposto al tuo dubbio e di non avere detto inesattezze e/o cose inutili, o già note, il che significherebbe che non ho capito la domanda :-P È proprio l'autenticazione del client che mi interessa; non hai qualche hint per poter indirizzare in modo produttivo la mia lettura? Grazie infinite, ciao, Giuliano
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il mar 5 ott 2021, 18:47 Piviul ha scritto: Ciao Piviul, grazie della risposta (in coda un chiarimento del contesto). Il 04/10/21 19:19, Giuliano Curti ha scritto: > > Potrei risolvere la parte motion / telecamere con openssl perché > > motion gestisce sia il webcontrol che le stream con modalità TLS: vi > > sembra una soluzione adatta? > > Su openssl ... > > > Ciao Giuliano, non conosco l'argomento motion, cam ip ecc... Se vuoi ti dico brevemente cosa fa motion, poi cmq saltare a piè pari. Motion contiene un mini server web che trasmette una pagina di controllo (default porta 8080) ed il flusso video di ogni telecamera su una porta dedicata (tipicamente 8081, 8082, ecc.). ma fail2ban > un po' si. Il problema è l'autenticazione: chi si occupa > dell'autenticazione? Motion tramite TLS? Ma se un utente fallisce > l'autenticazione in quale file di log, motion o chi per lui, scrive il > tentativo fallito? Una volta che lo hai .. > Più o meno il processo è quello quindi come prima cosa devi scoprire in > quale file di log vengono scritti i failing auth. > L'autenticazione può essere fatta in due modi: o con la copia user:passwd o con TLS. MOTION ha un file di log (/bar/log/motion.log) e dovrò controllare lì quello che dici. Approfitto per una domanda su openSSL che era il mio oggetto di studio attuale; dal poco che ho letto ho il dubbio che openSSL miri a garantire l'autenticità del server, non alla sicurezza del sistema; fosse così lascerei perdere perché non è questo il mio obbiettivo e un malintenzionato non sarebbe assolutamente interessato a sapere se il mio server è autenticato o meno. Spero di esser stato chiaro Piviul Sei stato chiarissimo e ti ringrazio, ciao, Giuliano --- Sono cresciuto con il "personal" computer, nel vero senso della parola; ora mi trovo spaesato con le reti, che non conosco, e soprattutto la sicurezza; tutto il thread è la traccia del mio tentativo di risalire la china. I miei dati, immagini e foto di una casa di campagna non sono importanti, quindi sono poco interessato a soluzioni di crittografia del traffico; sono piuttosto interessato a far si che il mio sistema non possa essere utilizzato per attività malevole da terzi.
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il mar 5 ott 2021, 15:58 Mario Vittorio Guenzi ha scritto: > Buongiorno > > .. Lorenzo e Mario Vittorio, grazie dei vostri suggerimenti, mi serviranno per approfondire l'argomento. Ciao, Giuliano
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il lun 4 ott 2021, 22:04 Mauro ha scritto: > > On 04/10/21 21:37, Davide Prina wrote: > > > > ma file2ban dovrebbe essere sufficiente installarlo > > > non esattamente. Fail2ban si presenta con una sfilza di filtri da paura, > Ciao Davide e Mauro, grazie delle risposte; Mauro ha chiarito i limiti e le difficoltà di fail2ban. Aggiungo per Davide che l'oggetto è la sicurezza di un sistema di videosorveglianza (abbastanza naif e basato sul solo motion); ho previsto l'apertura della porta 22 per l'amministrazione del sistema via SSH, occorre poi aprire le porte per l'uso di motion, una per il webcontrol (un controllo limitato dei parametri di motion) ed una per ogni telecamera. Ovviamente i dati (visualizzazione di un paio di prati) non hanno alcuna importanza e segretezza, sono più che altro un pretesto per farmi approfondire i temi della rete e della sicurezza; l'unica cosa fastidiosa sarebbe l'uso della mia macchina per attività criminose. Riassumo, senza ripetere, le domande che avevo posto: 1) la disabilitazione dell'accesso per password rende SSH ragionevolmente sicuro? 2) l'uso di SSL/TLS rende ragionevolmente sicura la connessione alle porte di pmotion e telecamerep? con "ragionevolmente sicuro" intendo che possa fare a meno di fail2ban. Grazie, ciao, Giuliano PS: ho qualche problema su openssl; mi sa che tornerò all'attacco :-)
Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Ciao a tutti, come da consiglio di Giancarlo ho installato fail2ban; mi sto documentando un po' e spero di configurarlo quanto prima; per SSH non dovrebbero esserci eccessivi problemi vista la mole di documentazione esistente, diverso sarà configurare la jail per motion e le telecamere di cui non trovo documentazione. Ho pensato però un'altra soluzione e volevo sentire i vostri consigli: la configurazione di SSH per lavorare con chiavi senza password non risolverebbe il problema? reputo difficile per un eventuale malintenzionato scoprire la chiave o sbaglio? Potrei risolvere la parte motion / telecamere con openssl perché motion gestisce sia il webcontrol che le stream con modalità TLS: vi sembra una soluzione adatta? Su openssl devo studiare tutto, quindi tornerò a chiedere consigli, ma intanto mi chiedevo se è una strada ragionevole da percorrere o una cavolata. Grazie, ciao, Giuliano
Re: Risolto (era: Vlan, Debian, VPN, zoneminder...)
Il dom 26 set 2021, 16:20 Giancarlo Martini ha scritto: Scusa Giancarlo, mi era sfuggito il msg :-( In che senso quale suggerimento? > Quanti tentativi e/o quale intervallo? > > Fail2ban credo usi iptables per impostare le regole di accesso/non accesso > Si, fail2ban utilizza iptables, però lo usa con istruzioni molto selettive, mirate a bannare i comportamenti dolosi (i singoli ip). Sulla mia rPi4 per default le policy di iptables sono tutte "ACCEPT", forse si potrebbe immaginare qualcosa di meno permissivo. È vero che il router dovrebbe fare passare solo le chiamate SSH (porta 22) e MOTION+TELECAMERE (5 porte) quindi l'intervento di fail2ban potrebbe bastare, però chiedevo, da newby delle reti, se serviva maggior protezione. -- > Giancarlo Martini > (Replace 'AAA' con '@') > mailto:giancarlo.firAAAgmail.com > Grazie, saluti, Giuliano PS: per SSH ho visto istruzioni per fail2ban, ma per MOTION ancora nulla; nessuno per caso ha già affrontato il problema?
Re: Risolto (era: Vlan, Debian, VPN, zoneminder...)
Il sab 25 set 2021, 07:45 Giuliano Curti ha scritto: > Il sab 25 set 2021, 07:03 Giancarlo Martini ha > scritto: > > . > > Se esponi delle porte con un ip pubblico ti consiglio di usare fail2ban e >> pw adatte. Le suddette porte saranno sicuramente oggetto di tentativi di >> accesso. >> > > ecco che si apre un nuovo capitolo di studio :-) :-) :-) > Ho guardato la documentazione di fail2ban, sembrerebbe non complicatissimo e quasi tutto già fatto; questo almeno per la SSH, ma per Motion e le telecamere quale comportamento suggerite? Domanda collegata: quale policy adottare per iptables o basta lasciar tutto libero che ci pensa il router? Grazie, saluti, Giuliano
Risolto (era: Vlan, Debian, VPN, zoneminder...)
Ciao a tutti, finalmente ho portato a termine la mia intenzione ed il mio sistema di videosorveglianza remota è funzionante. Ovviamente "termine" e "funzionante" sono termini eccessivi poiché ho ancora molto da affinare e prima ancora da imparare, però riesco a connettermi dal telefono al mio sistema ed a vedere le telecamere connesse quindi almeno il primo passo è stato fatto. Il sistema di videosorveglianza si basa essenzialmente su "motion" senza bisogno di altre sovrastrutture; probabilmente non è il massimo, però gli elementi fondamentali ci sono; devo solo definire e perfezionare alcuni dettagli, ma sono gli stessi che dovrei definire anche su altri applicativi (motioneye e zoneminder). La fase di connessione remota si è semplificata; non c'è stato bisogno di attivare VPN o altro perché motion emula un mini server web per cui sia la gestione che la visione delle telecamere sono dirottate su alcune porte del rPi4 che sovrintende il tutto e quindi basta reindirizzare quelle porte (oltre alla 22 per consentire anche la connessione SSH) sul router e il gioco è fatto. Il problema più spinoso in realtà è stato ottenere un indirizzo pubblico per il router; ho attivato una sim presso un provider nazionale destinata al telecontrollo; purtroppo l'indirizzo pubblico non è stato automatico; ci sono volute un po' di chiamate (nelle quali ho raccolto tutto lo spettro dello scibile: si può, attenda qualche giorno, già fatto, non si può fare), ma alla fine, dopo una settimana di stenti, l'ip pubblico è arrivato; NoIp sembra comportarsi bene per cui riesco nel mio intento. Ringrazio tutti dei consigli e soprattutto della pazienza; l'unico modo che mi rimane di sdebitarmi è quello di fornire tutte le informazioni sulle soluzioni che ho adottato; sono quindi a disposizione per qualsiasi informazione in mio possesso che possa risultare utile. Grazie, un saluto, Giuliano
Re: Port forwarding
Il ven 17 set 2021, 08:38 Paolo Redælli ha scritto: Ciao Paolo > Il 17/09/21 08:17, Giuliano Curti ha scritto: > > Il ven 17 set 2021, 08:03 Simone Rossetto ha scritto: > >> ... >>> 9) sul sito www.portchecktool.com (consigliato dal manuale del router) >>> la porta però viene data come chiusa >>> >> >> Potresti essere dietro una NAT del tuo provider, quindi è il suo router >> che ha tutte le porte chiuse. In questo caso non hai modo di raggiungere la >> tua LAN dall'esterno. >> > > ... > > Sarai mica con FastWeb? > No, iliad Rimane il fatto che alcune app per Android (ICsee) riescono a vedere le > telecamere collegate alla rete di quel provider, è sperabile quindi che ci > sia una soluzione (prima di quella estrema: cambiare il provider :-)) ). > > Potrebbe non essere significativo perché spesso quelle applicazioni si > appoggiano ad un server esterno che fa da tramite/proxy specifico per > quelle applicazioni > Sto vedendo una soluzione possibile, ma temo troppo difficile per le mie ridotte capacità sulle reti; mi sa che condividerò altri dubbi :-( > Grazie, ciao, Giuliano
Re: Port forwarding
Il ven 17 set 2021, 08:17 Giuliano Curti ha scritto: > Il ven 17 set 2021, 08:03 Simone Rossetto ha scritto: > >> Ciao Giuliano >> > > > ..oopss... aggiungo: è questo allora il motivo per cui nella schermata router, alla voce internet, mi trovo un indirizzo 10:x:x:x che dovrebbe essere privato e non pubblico? >
Re: Port forwarding
Il ven 17 set 2021, 08:03 Simone Rossetto ha scritto: > Ciao Giuliano > Ciso Simone Il gio 16 set 2021, 23:20 Giuliano Curti ha scritto: > >> >> 9) sul sito www.portchecktool.com (consigliato dal manuale del router) >> la porta però viene data come chiusa >> > > Potresti essere dietro una NAT del tuo provider, quindi è il suo router > che ha tutte le porte chiuse. In questo caso non hai modo di raggiungere la > tua LAN dall'esterno. > Ho immaginato, ma non ancora indagato, quell'aspetto; sto vedendo alcuni post che affrontano il problema. Rimane il fatto che alcune app per Android (ICsee) riescono a vedere le telecamere collegate alla rete di quel provider, è sperabile quindi che ci sia una soluzione (prima di quella estrema: cambiare il provider :-)) ). Ciao > Simone > Grazie Simone, già l'aver individuato il problema mi è di grande aiuto; farò sapere eventuali novità; ciao, Giuliano
Port forwarding
Ciao a tutti, ho bisogno ancora di un aiuto, grazie (1)(2)(3); Non riesco a risolvere il problema di port forwarding per abilitare connessioni SSH (e altro) da remoto al mio rPi4: 1) sulla macchina è attivo il server SSH (sudo systemctl status SSH -> listen sulla porta 22) 2) riesco a connettermi da diversi host sulla stessa LAN 3) ho registrato un dominio su no-ip.com 4) ho attivato nel modem-router la relativa sezione del Dynamic DNS (la connessione viene indicata come avvenuta) 5) l'indirizzo accoppiato su no-ip.com è allineato con quello fornito da ifconfig.me, ilmioip.com, ecc. quindi il dDNS sembra funzionare 6) infatti quando pingo da un host fuori dalla LAN vedo la risoluzione del nome, ma... 7) il ping non produce risposta (/proc/sys/net/ipv4/icmp_echo_ignore_all = 0) 8) ho eseguito sul router il Port (NAT) Forwarding della porta 22 alla porta 22 del rPi4 9) sul sito www.portchecktool.com (consigliato dal manuale del router) la porta però viene data come chiusa 10) la chiamata ssh fallisce con un "timed out" 11) temendo un problema al firewall del rPi4 ho verificato non essere settato: tutte le policy sono ACCEPT 12) lanciando traceroute ottengo 120 hops senza raggiungere l'rPi4; solo i primi 11 host si qualificano, tutti gli altri no, quindi mi diventa ancor più difficile individuare il collo di bottiglia a questo punto non capisco dove sto sbagliando, qualche hint sui punti da indagare? grazie, saluti, giuliano (1) il post è legato alla discussione sulla videosorveglianza tramite raspberry (Vlan, Debian, VPN, zoneminder), ma avendo una sua autonomia ho preferito separarlo da quella; (2) a chi interessa posso dare qualche impressione / info su zoneminder, motioneye e motion; (3) ho disponibili informazioni sulle stringhe di connessione di 4 telecamere diverse (Elvox, Hangzou Kuofeng, Reolink, Leovin);
Re: Vlan, Debian, VPN, zoneminder,.....
Il sab 28 ago 2021, 16:52 Giuliano Curti ha scritto: > Il sab 28 ago 2021, 10:44 Giuliano Curti ha > scritto: > >> Il ven 27 ago 2021, 13:48 Giuliano Curti ha >> scritto: >> > >> >> . >> > Ciao a tutti, un aggiornamento. 1) mi sono accorto che l'hardware (raspberry Pi 2 B) non è adatto a gestire zoneminder; il sistema diventa terribilmente lento, praticamente inusabile, pertanto ho sospeso la sperimentazione in attesa di acquistare il nuovo raspberry Pi4 4GB; devo considerare qualche altro hardware? 2) ho portato avanti la fase di networking e di accesso remoto; ho pensato che forse la VPN da cui ero partito è eccessiva; potrebbe bastare il port forwarding delle porte 80 (zoneminder agisce tramite apache) e 22 (ssh per l'amministrazione); questa è ovviamente una ipotesi in attesa di conferma, cmq mi sono mosso in questa direzione; 3) purtroppo ho scoperto che il router saponetta che uso non prevede la gestione del port forwarding, pertanto devo anche qui sostituire l'hardware; ho individuato il TP-link MR6400, ma accetto volentieri suggerimenti; 4) mi è venuta anche una pazza idea; usare il raspberry come modem router usando una internet key; dovrei avere un hardware comparabile ad un modem router con il vantaggio (teorico) di essere gestibile totalmente; potrei anche non aver bisogno del server dhcp visto che lavoro con ip statici; il firewall è disponibile, l'unica complicazione (per me) potrebbe essere il NAT dei device collegati (che poi è uno solo, il server zoneminder) e la gestione del DNS; avrei anche il problema di indirizzare l'SSH su un'altra porta in modo da avere raggiungibili entrambi i Raspberry, router e server. La vostra opinione? Grazie, saluti, Giuliano
Re: Vlan, Debian, VPN, zoneminder,.....
Il sab 28 ago 2021, 10:44 Giuliano Curti ha scritto: > Il ven 27 ago 2021, 13:48 Giuliano Curti ha > scritto: > > > Ho provato la seconda riuscendo a settare gli indirizzi statici, e quindi > la rete interna funziona, ma la wlan0, che finalmente prende un indirizzo > fisso coerente, non si collega al router; .. > Rettifica. Chiedo scusa della precedente segnalazione: la configurazione che esclude dhcpcd e usa /etc/network/interfaces funziona. Mi aveva ingannato l'icona dello stato delle interfacce (in alto a destra) che indicava una connessione rotta. Un ultimo tentativo prima di provare una soluzione diversa mi ha fatto capire che invece gli indirizzi erano statici e la connessione al router funzionava, quello che volevo (evidentemente la gestione dell'icona in questione ha problemi; non saprei a chi e come segnalare). Chiedo scusa dell'inutile rumore ed ora passo al punto successivo. Grazie, saluti, giuliano
Re: Vlan, Debian, VPN, zoneminder,.....
Il gio 26 ago 2021, 16:38 Giancarlo Martini ha scritto: > hai provato l'opzione nodhcp > https://manpages.debian.org/testing/dhcpcd5/dhcpcd.conf.5.en.html#dhcp > Ciao, qui dice: "nodhcp Don't start DHCP or listen to DHCP messages. This is only useful when allowing IPv4LL." io non prevedo l'uso dell'opzione IPv4ALL anche perché non la vedo definita (guarderò meglio). Pensavo al contrario di provare "DenyInterfaces {eth0, wlan0}" poi farò sapere. Ciao, G.
Re: Vlan, Debian, VPN, zoneminder,.....
Il ven 27 ago 2021, 13:48 Giuliano Curti ha scritto: > Il gio 26 ago 2021, 16:30 Giancarlo Martini ha > scritto: > >> ... >> > > > Ho fatto qualche prova contradditoria (ivi compresi impallare il sistema > che non boota più), ma non ho ancora avuto il tempo di rendicontare.. > Eccomi qui, a mo' di gambero, due passi avanti ed uno indietro :-) Consultando la rete qui (1) e qui (2) ho visto due metodi alternativi: a) configurazione statica in /etc/dhcpcd.conf e istruzione "iface inet manual" in /etc/network/interfaces b) configurazione statica in /etc/network/interfaces con blocco e dusabilitazione del demone dhcpcd. Con la prima non sono riuscito a settare gli allegati indirizzi statici; conservavo la connessione ad internet, cioè funziona la rete wifi (senza però l'indirizzo statico che volevo), ma non riuscivo a creare la rete interna. Ho provato la seconda riuscendo a settare gli indirizzi statici, e quindi la rete interna funziona, ma la wlan0, che finalmente prende un indirizzo fisso coerente, non si collega al router; penso sia il mancato accreditamento alla rete. Ho provato anche a copiare il file wpa_supplicant.conf nella cartella /boot come riportato in alcune guide, ma senza risultato Ho praticamente due opzione complementari, ognuna contiene metà della soluzione; devo capire cone fonderle insieme. Grazie (spero non disturbi il resoconto), saluti, giuliano (1) www.ionos.it/digitalguide/server/configurazione/raspberry-pi-assegnazione-di-un-indirizzo-fisso/ (2) www.raspberrypi.org/forums/viewtopic.php?t=275261
Re: Vlan, Debian, VPN, zoneminder,.....
Il gio 26 ago 2021, 16:30 Giancarlo Martini ha scritto: > ma sai che potresti aver ragione ... devo dire a mia discolpa che la > configurazione di rete mi è sempre stata un pò ostica, sia perchè non mi è > mai stato > chiaro il ruolo dei vari script che l'abilitano, if-up con la > descrizione delle interfacce in /etc/network/interfaces , il network > manager e il dhcpcd.service. > Ciao Giancarlo, non te la prendere, io di rete non ci capisco proprio nulla e i tuoi (vostri) consigli mi sono sempre d'aiuto, almeno mi fanno pensare. Comunque se fossi in te una prova la farei lo stesso non escluderei a > priori che possa funzionare. > Ho fatto qualche prova contradditoria (ivi compresi impallare il sistema che non boota più), ma non ho ancora avuto il tempo di rendicontare; farò ancora qualche esperimento, anche quello che mi dici nel post successivo; ti farò sapere. Grazie, saluti, Giuliano
Re: Vlan, Debian, VPN, zoneminder,.....
Il mer 25 ago 2021, 10:24 Giancarlo Martini ha scritto: > no, sono due cose distinte, credo che la configurazione statica delle > interfacce possa stare dove è ora, visto che per il wifi funziona, si > tratta di disabilitare la richiesta dell'ip. > Prova a dare questo comando > *sudo systemctl status dhcpcd.service* > per verificare lo stato del servizio > se è attivo dai > *sudo systemctl disable dhcpcd.service* > ed eventualmente, dopo aver riavviato ricontrolli con status e verifichi > che ip ci sono > *ip address show* > se è ancora attivo prova questo > *sudo systemctl mask dhcpcd.service* > e ricontrolli > Ciao Giancarlo, grazie; Fammi capire (chiedo volendo conoscere meglio le reti); la configurazione ora è in /etc/dhcpcd.conf, file di configurazione del demone dhcpcd; se lo disattivo chi legge quel file? Ciao > Grazie ancora, ciao, Giuliano
Re: Vlan, Debian, VPN, zoneminder,.....
Il lun 23 ago 2021, 21:49 Giancarlo Martini ha scritto: > Devi disabilitare il client DHCP, devi usare systems, il comando è > qualcosa di simile: > Sudo systemctl disable dhcp_qualcosa > Controlla la sintassi, vado a memoria > Quindi mi consigli di spostare la configurazione statica delle interfacce in /etc/network/interfaces (per poter disabilitare dhcpcd) ? -- > Giancarlo Martini > Grazie, ciao, Giuliano