Vita di un sys-admin

Esattamente lo stesso mese di qualche anno fa, 2005, (vedere il post a riguardo su questo blog), realizzai un sistema embedded basato su Linux per un cliente.

La richiesta del committente era la realizzazione di un sistema che fosse collegato ad un PLC, a sua volta collegato a macchine di taglio lamiera, per la ricezione di dati e allarmi dalla macchina di taglio, e la successiva scrittura di questi dati su un RDBMS centralizzato.

Il sistema embedded era munito di LCD con risoluzione 640×480 e touchscreen per l’interazione.

All’avvio il sistema doveva aprire un browser (javascript capable) che doveva puntare ad una webapplication scritta da un’altra azienda, che serviva per pilotare le macchine.

Realizzai qualcosa in un mesetto:

• l’embedded in se’: kernel + file system layout minimale + busybox + dropbear (ssh) + xorg + opera 9 (versione minimal): circa 100mb facendo un lavoro certosino di taglio di file inutili. Il dom dell’embedded era di 128MB
• un daemon scritto in C che leggeva la seriale, parsava i dati (mi sono divertito con gli operatori bit a bit, grazie al K&R, per estrapolare gli allarmi dai char letti sulla seriale), ed utilizzava unixODBC per scriverli sul server MS SQL Server (?!?!**##%%$) della applicazione web fatta dall’altra azienda

Ne’ risulto’ un bel lavoro.
Dall’inizio avevo cercato di evitare Xorg e di usare qualcosa tipo links2 in modalita’ framebuffer, ma l’applicativo web di terze parti faceva uso massivo di Javascript…
Poi provai con Dillo, ma anche li il supporto Javascript era penoso.
Poi provai con Firefox, funzionava ma chiedeva troppo tempo al boot…
Poi sono approdato a Opera9! Opera e’ davvero un bel browser, molto personalizzabile, forse piu’ facilmente di Firefox perche’ basta editare il file opera.ini.
Date un occhio a http://del.icio.us/pallotron/opera.

Opera9 aveva gia’ una funzionalita’ di kiosk mode interna, senza bisogno di installare addon come nel caso di Firefox.

Questo lavoro produsse la pubblicazione di un howto da me scritto che illustrava come usare il portage di Gentoo Linux per realizzare sistemi embedded. E’ ancora un valido documento. Ho visto che molta gente approda ad esso cercando con Google. Ne realizzai anche una versione English.In questi giorni mi sono trovato nella situazione di dover realizzare un altro embedded. Nel frattempo la mia considerazione di Gentoo e’ andata scemando. Per una serie motivi che se volete possiamo discutere.BTW mi sono messo all’opera per vedere che strumenti offre Debian per realizzare lo stesso lavoro.Premetto che sia l’embedded precedente che quello odierno sono basati su cpu x86 compatibili. No ARM.

Quindi per realizzare un sistema usabile e funzionante non si deve fare cross-compiling delle applicazione per la CPU target.

Debian mi ha permesso di essere molto piu’ spedito nella creazione di questo nuovo embedded. Ho utilizzato debootstrap, dando comandi simili a questi:

main # mkdir -p /opt/lenny-root
main # debootstrap lenny /opt/lenny-root http://ftp.debian.org/debian/
[ ... attendere prego ... ]

Alla fine del processo otterrette un sistema debian standard minimal (in questo caso la relase lenny) nella directory prescelta.

A questo punto mountare /proc, copiare /etc/hosts e chrottarsi:

main # mount proc /opt/lenny-root/proc -t proc
main # cp /etc/hosts /opt/lenny-root/etc/hosts
main # chroot /opt/lenny-root /bin/bash

A partire da questo punto ho installato il software necessario al cliente usando apt.
Ho installato Firefox, Xorg, dropbear, Splashy, ed un RPM della National Instruments fornitomi dal cliente che installa un envoirnment chiamato Labview che include anche un plugin di Firefox.

E’ un ambiente molto utilizzato da 20 anni in automazione industriale:

For more than 20 years, NI LabVIEW graphical development has revolutionized the development of scalable test, measurement, and control applications. Regardless of experience, engineers and scientists can rapidly and cost-effectively interface with measurement and control hardware, analyze data, share results, and distribute systems.

Il cliente ha gia’ scritto applicazione LabVIEW, il terminale embedded deve puntare all’applicazione di monitoring della infrastruttura automatizzata.

Il cliente voleva anche che il processo di boot non mostrasse tutte le scritte tipiche del boot dei kernel UNIX. Ma qualcosa di grafico con una barra di scorrimento, qualcosa alla Ubuntu/Windows.

L’ho realizzata con Splashy.
E’ stato sufficiente installarlo, leggere la documentazione, realizzare delle bmp con pochi colori come questa, con le immagini da usare, configurare qualche file di xml per definire colori della barra ed i comportamenti.

Mentre che c’ero ho anche utilizzato lilo in modalita’ grafica con immagine bmp e menu’ di scelta dove l’utente al boot puo’ scegliere se partire con lo splash, senza splash (per vedere i messaggi del kernel), oppure in una modalita’ “configurazione”.

La modalita’ “configurazione” viene usata per configurare l’apparecchio.
In pratica a dopo il boot, e dopo aver effettuato il login uno script in .bashrc legge la command line del kernel leggendo /proc/cmdline ed eventualmente esegue uno script bash che fa domande sulla configurazione e poi scrive i file che deve scrivere…

Il filesystem dell’embedded e’ cosi’ organizzato:

• / in read only
• /usr compressa con squashfs
• una partizione /rw di pochi mega in read write

In totale tutto sta in 164MB. OK non proprio dimensioni embedded, ma in realta’ questo non e’ proprio un embedded nel vero termine della parola… e’ piu’ un dispositivo da affiancare ad una macchina di taglio, e poi dovendo anche avere Xorg… Considerato che il dom che ho a disposizione e’ di 256MB direi che vado tranquillo, ma sono convinto che con un po’ di lavoro certosino fatto di strace, ldd, e altri tool posso minimizzare di molto!
Ed ora pappatevi un video che ho girato l’altra notte mentre ci lavoravo, in questo video il sistema impiega ben 4′30″ dall’accensione elettrica al caricamento di una pagina di test con un plugin Labview. Ma nel momento in cui scrivo sono riuscito a ridurre il tempo di caricamento a soli 2′20″… purtroppo l’embedded che ho e’ solo 166mhz… 129MB di ram… e si sa firefox non e’ che sia leggerissimo… beh casomai il cliente optera’ per ferragglia piu’ prestante.

Popularity: 30% [?]

pallotron Hardware, Informatica, Lavoro, Linux, Programmazione, Software, Tips and Tricks, Video debian, embedded, labview, Lavoro, linux, splashy, work

MANNAGGIA A DEBIAN! ‘Sta volta hanno fatto una cazzata!

Avete server Debian installati dal 2006 in poi? AGGIORNATE IMMEDIATAMENTE OPENSSL E RICREATE TUTTE LE VOSTRE CA, CERTIFICATI PEM, CHIAVI SSH DI CLIENT E SERVER.

Leggete qui:

http://www.debian.org/security/2008/dsa-1571

Ed anche qui:

http://wiki.debian.org/SSLkeys (c’e’ un tool che dovrebbe aiutarvi a capire quali server SSH sono vulnerabili e quali no… anche se non e’ detto che non possa generare falsi positivi/negativi).

“”Luciano Bello discovered that the random number generator in Debian’s openssl
package is predictable. This is caused by an incorrect Debian-specific change
to the openssl package (CVE-2008-0166). As a result, cryptographic key
material may be guessable.”"

“Well, it looks like it’s more toward the minutes or seconds range, because dowkd.pl contains a simple list of around 260,000 fingerprints for these vulnerable keys… that is, if you’re vulnerable, I can look your SSH server’s host key fingerprint up in a rather small database to find your private key.Yikes.”

“It was a modification from the debian package maintainers that has cause the issue. In short they disabled the random portion of encryption process, also known as the iv, salt, seed. Which means basically means all the keys are predictable, because the randomness has been removed. This in turn creates weak keys, and a target for brute force and man in the middle attacks. The bug is limited to Debian systems, and its clones, since it was introduced by the Debian maintainers.”

Modificare il codice di un pacchetto critico come OpenSSL, frutto di lunghi studi matematici sulla crittografia e fare sta cazzata. Complimenti!!!!

Pare che la patch malsana risalga al 2 Maggio 2006. Ben 2 anni. Vi rendete conto di quanti server in tutto il mondo possono essere vulnerabili?!!!?!

Ci aspettano ore di davanti ai computer per aggiornare caterve di macchine. COMPLIMENTI!

Update:

Per sshd basta usare questi comandi:

# apt-get update
# apt-get install libssl-dev openssl
# rm /etc/ssh/ssh_host*
# dpkg-reconfigure openssh-server

Ovviamente la fingerprint del vostro server ssh cambiera’.

Update2:

Ovviamente  se usate certificati SSH RSA per accedere ai server senza password (o anche con la password) dovete ricrearli con ssh-keygen ed aggiornare authorized_keys su ogni macchina a cui avete accesso. CHE PALLE!

Ovviamente tutti i consigli solo se il vostro server e’ stato isntallato dopo il 2006 o la vostra chiave RSA e’ stata creata dopo il 2006.

Update 3:

Popularity: 25% [?]

pallotron Comunicazioni, Informatica, Lamentazioni, Linux, Software debian, free software, gnu, linux, merda, openssl, security, Software Libero, ssh, ssl

Hi Lads,

This is a post for nerds so I’m writing it in English. If you don’t understand English or technical stuff please close this page
I’m at work and I’ve just finished to write a Nagios script to monitor expiration date of a SSL certificate.

I wanna share it with you.

To have the script working properly you just need to install OpenSSL and let the openssl
command be in your PATH environment.

This is the usage:

Usage:
check_ssl_cert.sh hostname port [warningdays]

Warning days default value is 30 days.

Some examples:

[afailla@terminus ~]$  /usr/local/nagios/bin/check_ssl_cert.sh google.com 443
OK: Certificate is valid for 289 days expires on May  2 17:02:55 2009 GMT
 
[afailla@terminus ~]$  /usr/local/nagios/bin/check_ssl_cert.sh google.com 443 400
CRITICAL: Certificate will expire in 289 days on May  2 17:02:55 2009 GMT

Download the script here and enjoy it.

Popularity: 22% [?]

pallotron Hardware, Informatica, Lavoro, Linux, Programmazione, Software, Unix bash, certificate, expiration, linux, monitoring, nagios, openssl, script, ssl, Unix

Ogni tanto in questo blog vanno messe un po’ di robe tecniche altrimenti la mia geekness se ne va a farsi benedire e la gente smette di dirmi che sono nerd.

Ultimamente ho messo su una scatoletta linux che funziona da media server per la XBOX (usando ushare) e da server samba/ssh/http.

SSH e HTTP sono esposti su internet e li uso per trasferire files.

Alcuni amici hanno accesso solo che abusano della clemenza e scaricano file in maniera un po’ troppo eccessiva

Cosicche’ oggi ho messo mani a TC (traffic control) per configurare un tetto massimo di 20kbps in upload. TC e’ una CLI che permette di gestire il traffic shaping in Linux ma la sua sintassi e’ troppo arcana… cosicche’ un gruppo di giovini ha creato tcng (TC new generation).

Cosicche’ me ne sono uscito con queste poche righe di file di testo da eseguire a boot time:

root@linutop:/etc# cat /etc/rc.local 
#!/bin/sh
tc qdisc del root dev eth0
tcng -q /etc/tcng > /tmp/tc
sh /tmp/tc 
rm /tmp/tc
 
root@linutop:/etc# cat /etc/tcng 
#define INTERFACE  eth0 
#define IP 192.168.50.252
 
dev INTERFACE {
    egress { 
 
        class ( < $http> ) if ip_src == IP && tcp_sport == PORT_HTTP ;
        class ( < $other> )  if 1 ;
 
        htb () { 
            class ( rate 100Mbps, ceil 100Mbps) { 
                $http  = class ( rate 100kbps, ceil 200kbps ) { sfq; } ;
                $other = class ( rate 128kbps, ceil 100Mbps) { sfq; } ;
            }
        }
    }
}

Enjoy, vi ho dato lo spunto per iniziare.
Letture interessanti:

* http://www.faqs.org/docs/Linux-HOWTO/Traffic-Control-tcng-HTB-HOWTO.html

* http://www.faqs.org/docs/Linux-HOWTO/Traffic-Control-tcng-HTB-HOWTO.html

Popularity: 21% [?]

pallotron Informatica, Linux linux, networking, qos, tc, tcng, traffic control

Tutti noi abbiamo mandato almeno una volta un SMS dal sito del nostro operatore telefonico irlandese. Ok, e’ comodo, non si spendono soldi, ma ci si deve sorbire pubblicita’, e in piu’ l’interfaccia non e’ proprio immediata… girovagando per la rete ho trovato questo progetto chiamato 02sms.

Mi sento il Salvatore Aranzulla degli Irlandiani. Ricordate?

Questo non e’ altro che un progetto scritto in Perl che usa WWW::Mechanize per esporre una comoda interfaccia verso tutti gli operatori di telefonia irlandesi (O2, Vodafone, 3, meteor, etc). Oltre al modulo vero e proprio c’e’ anche una comoda utility command line per mandare sms dalla vostra console. Se avete una distribuzione debian e derivati potete installare cosi’:

# echo "deb http://apt.mackers.com/ unstable contrib" >> /etc/apt/sources.list
# curl http://www.mackers.com/about/gnupg.key.asc | apt-key add -
# apt-get update
# apt-get install o2sms

Dopodiche potete creare il file di configurazione nella vostra home:

pallotron@saridda ~ $ cat ~/.o2sms/config
username 086123456
password SECRET
carrier o2
alias mamma +353861234567
alias papa +353861234568
alias amici +353861234569 +353861234563

A quel punto potete usare il comando come se fosse il comando mail mandanto in pipe l’output di echo o cat o quello che volete voi:

pallotron@saridda ~ $ echo ciao | o2sms mamma
[ recipient : io (+353861234567) ]
[ logging in to 086123456@o2.ie ... ]
[ login successful ]
[ message sent to +353861234567, 247 remaining this month ]

Per gli amanti del mouse ci sono anche widget per gnome e kde. Varie funzioni sono disponibili per ulteriori info guardate il sito e la documentazione.

Spread the word.

Popularity: 23% [?]

pallotron Informatica, Linux, Software cli, console, linux, o2sms, sms, Software