Compilare pam-u2f e integrarlo nell'autenticazione in Linux

Premetto che su CentOS 6 questo è ancora un work in progess, probabilmente sbaglierò io qualcosa, ma i binari e le librerie prodotte non riescono a instaurare una comunicazione corretta tra bus USB e sistema, anche se la Yubikey viene vista correttamente dal sistema. La compilazione di pam-u2f richiede parecchie dipendenze e le librerie necessarie non sono disponibile nei repo ufficiali (incluso epel). Preso dalla frustrazione ho tirato su una VM CentOS 7 e con grande soddisfazione ho trovato alcune librerie necessarie (json-c e hidapi) in epel. In questo caso la compilazione va a buon fine in maniera semplice semplice e possibile applicare il modulo pam-u2f a tutte quelle applicazioni pam-aware. Lo stesso vale per Debian 8. Nel caso non sapeste cosa e come funzioni PAM, consiglio la lettura di questo ottimo articolo. Vi darà un'infarinatura generale sulle potenzialità di PAM, uno strumento spesso non considerato. INSTALLAZIONE Per prima cosa installiamo un po' di pacchetti necessari, per la guida prenderò in considerazione installazioni CentOS 6 e CentOS 7: [crayon-594f459c82393465337513/] Da tenere in considerazione che alcuni pacchetti come json-c (presente nei repo, ma non adeguato) e hidapi non sono disponibili nei repo ufficiali di CentOS 6. Fare riferimento alla nota a

Continua a leggere >>>

Google Reader è morto e ora...? Ci pensa TT-RSS

Google Reader è stato "terminato" il primo di luglio. Io personalmente ero uno di quei tanti che lo usava in maniera particolarmente intensiva. La mia scuola di pensiero è che non ci si può affidare ai social network per veicolare un flusso coerente di notizie, ma soprattutto poterle fruire in modo ordinato. Nulla potrà mai sostituire lo stream RSS, e nel dire questo è anche corretto ricordare il caro Aaron Swartz. Sarò pur vecchia scuola ma non riuscirei nemmeno per un secondo a concepire l'idea di utilizzare Google+, Twitter o Facebook per leggere le varie news. Magari questo potrebbe andare bene con qualche sottoscrizione ma con centinaia di sottoscrizione immagino sia la ricetta per non capire una mazza e diventare letteralmente stupidi. Un reader RSS web-based è sicuramente più auspicabile. Un client RSS desktop lo trovo poco pratico, ormai è risaputo che tablet, smarpthone, molteplici PC sono alla base di una persona che di IT se ne intende almeno un pochino. D'altro canto la possibilità di fruire delle proprie feed da qualsiasi luogo e da qualsiasi dispositivo è sicuramente l'obbiettivo migliore. Feedly è in lizza per diventare l'erede di Google Reader. Seppur ora sia disponibile in versione totalmente web-based, senza

Continua a leggere >>>

SSH two-step authentication con Google authenticator su CentOS 6.x e SELinux

Oggi ho lottato duramente contro SELinux, in una sfida uomo-macchina dove alla fine l'uomo è risultato vincitore. 😀 Non sto qui a spiegarvi l'impatto che ha l'autenticazione a due fattori sulla sicurezza, mi limito a dire "something you know, something you have". Installata la CentOS 6.4 e configurato il webserver passo al SSH server. Cambio la porta, rimuovo l'accesso per l'utente root e limito la connessione solo a certi utenti. Stabilisco i gracetime, le connessioni massime, fail2ban per i brute force e le regole per iptables. Fatto questo passo a configurare il two-step authentification e mi imbatto sempre in "Access Denied". Guardo il log con: [crayon-594f459c8f1ec792425513/] e noto: [crayon-594f459c8f2df856488878/] Faccio una veloce ricerca su Google e noto che il problema è dovuto a SELinux (Security-Enhanced Linux). Ovviamente col cavolo che lo disabilito solo per far funzionare l'autenticazione a due fattori. I problemi tra SELinux e pam_google_autheticator sono ben noti, fortunatamente esiste un semplice workaround. Approfitto di questo per scrivere un intero post dedicato su come integrare Google Authenticator nel SSH server, sicuramente mi servirà anche a me in futuro. 😀 Sicuramente il pacchetto "pam_google_authenticator" sarà disponibile in qualche repository di terze parti già in forma binaria, io in questo post

Continua a leggere >>>

Estendere una partizione LVM su una VM CentOS

Pochi giorni fa ho avuto la necessità di aumentare la dimensione di un HD virtuale sulla quale era presente un'installazione di CentOS 6.4. La piattaforma di virtualizzazione era l'immancabile VMware vSphere mentre la distro Linux era installata su una partizione LVM. Aumentare le dimensioni del disco virtuale è una baggianata; basta infatti loggarsi tramite vSphere Client oppure vSphere Web Client e incrementare la dimensione del disco al valore desiderato. Non è invece altrettanto banale estendere la partizione LVM sul quale è installato CentOS per trarre vantaggio di quei GB disponibili in più che sono visti dal sistema operativo come spazio non partizionato. NOTA BENE: dato che la procedura richiederà di effettuare la modifica della tabella delle partizioni suggerisco caldamente di effettuare un backup di tutti i dati. Se invece l'operazione va fatta su un ambiente di produzione è meglio tenere su le antenne e prepararsi ad ogni eventualità in modo che nel peggiore dei casi il fermo macchina sia il più limitato possibile. La virtualizzazione ci può aiutare parecchio in quando non dobbiamo più fare l'immagine dell'intero sistema e poi doverla ripristinare in caso di disastro. Ci basterà prendere uno snapshot o effettuare un backup con i numerosi software messi

Continua a leggere >>>

Site Footer