Re: Cifratura disco
On 13/03/2024 11:33, Thomas Iezzi wrote: Buongiorno lista, mi è stato chiesto di criptare il disco di un computer con debian 12 a bordo. Io in genere attivo la cifratura durante l'installazione dell'OS,ma non l'ho mai fatto a macchina installata e funzionante. Avete qualche guida da suggerirmi? Grazie, Thomas Se puoi avere downtime, farei così: ***ovviamente scrivo a memoria, eventuali casini conseguenti non sono colpa mia*** avvia temporaneamente la macchina con una live (tipo gparted) Fai posto per una partizione grande quanto quella di interesse. 1. Crea un volume cifrato nella nuova partizione (supponiamo si chiami /dev/sdX3) Sarà chiesta la password di cifratura # cryptsetup -y -v luksFormat /dev/sdX3 2. Monta il volume cifrato e crea un filesystem all'interno # cryptsetup luksOpen /dev/sdX3 sdX3crypt 3. Copia la partizione di origine nel nuovo volume dd if=/dev/sdX2 of=/dev/mapper/sdX3crypt oflag=sync status=progress 4. Aggiustare il bootloader per usare il nuovo volume Crea /etc/crypttab e inserisci il uuid del volume così identificato: # ls -l /dev/disk/by-uuid/ | grep sdX3 lrwxrwxrwx 1 root root 10 Nov 13 21:27 45a4cbf0-da55-443f-9f2d-70752b16de8d -> ../../sdX3 Creare il file /etc/crypttab # echo "sdX3crypt UUID=45a4cbf0-da55-443f-9f2d-70752b16de8d" > /etc/crypttab Aggiungi a /etc/default/grub "GRUB_ENABLE_CRYPTODISK=y" Sistemare grub update-initramfs -u grub2-mkconfig update-grub2 5. Il sistema "dovrebbe" partire ** VERIFICA CHE PARTA DALLA PARTIZIONE CORRETTA** .. se tutto ok con un altro giro di gparted si puo' rimuovere la partizione di origine non cifrata e allinare i filesystem. -- mit herzlichen Grüßen / best regards Nicola Ferrari
Re: [Debian/Bullseye] - Come far scattare il 'fallback relayhost'?
* pinguino [130324, 12:11]: > Il 12/03/24 21:29, Ennio-Sr ha scritto: > > > > Vi sarei grato se mi mandaste un segno che 'non sono solo al mondo...'! > > > > Ciao Ennio, Non sei solo. > > Messaggio ricevuto. > Ma non ti so rispondere nel merito della parte tecnica. > > > Ciao > Claudio > Moltissime grazie, Claudio: mi basta che tu mi abbia risposto per avere la certezza di non essere stato 'bandito' dalla lista per eventuali mie inconsapevoli 'colpe'! Per il problema 'tecnico' cercherò più a fondo in rete. Grazie di nuovo, Ennio -- [Perché usare Win$ozz (dico io) se ..."anche uno sciocco sa farlo. \\?// Fà qualche cosa di cui non sei capace!" (diceva Henry Miller) (°|°) [Why use Win$ozz (I say) if ... "even a fool can do that. .)=(. Do something you aren't good at!" (as Henry Miller used to say)] /_\
Re: Cifratura disco
Il 13 marzo 2024 11:33:28 CET, Thomas Iezzi ha scritto: >mi è stato chiesto di criptare il disco di un computer con debian 12 a >bordo. Tutto il disco o solo particolari directory? Nel secondo caso io uso ecryptfs https://www.ecryptfs.org/ -- ciao Leandro
Re: [Debian/Bullseye] - Come far scattare il 'fallback relayhost'?
Il 12/03/24 21:29, Ennio-Sr ha scritto: Un cordiale saluto a tutta la lista! Chiedo anzitutto scusa nel riproporre un vecchio post del 21 Nov 2023 al quale non ho mai ricevuto risposta: temo che il messaggio non sia mai pervenuto alla lista... Riconfigurando postfix, in un periodo in cui non riuscivo più a comunicare via email tramite il gestore 'tin.it', avevo letto della possibilità di inserire un'alternativa in '/etc/postfix/sasl_pwd' aggiungendo queste due righe: smtps.tin.it nasr.la...@tin.it:password_in_chiaro smtp_fallback_relay smtp.autistici.org al.mu...@autistici.org:password_in chiaro ma non ho mai potuto verificare la loro validità perché - apparentemente - nessuno ha mai risposto alla mia richiesta iniziale. Il mio messaggio, peraltro, non appariva - dopo più di una settimana, nella lista 'debian-italian'. Vi sarei grato se mi mandaste un segno che 'non sono solo al mondo...'! Grazie dell''attenzione, ennio Buon giorno Lista, Ciao Ennio, Non sei solo. Messaggio ricevuto. Ma non ti so rispondere nel merito della parte tecnica. Ciao Claudio -- https://www.linkedin.com/in/claudio-sandrone
Cifratura disco
Buongiorno lista, mi è stato chiesto di criptare il disco di un computer con debian 12 a bordo. Io in genere attivo la cifratura durante l'installazione dell'OS,ma non l'ho mai fatto a macchina installata e funzionante. Avete qualche guida da suggerirmi? Grazie, Thomas
Re: strano problemino con stringhe base64
Il Tue, Mar 12, 2024 at 10:18:21AM +0100, Piviul ha scritto: > Ciao a tutti, ho uno script che interroga (ldapsearch) alcuni campi di un db > ldap e aggiunge alcuni altri ammenicoli che poi importa in un altro db > sempre ldap. > > In particolare nello script ad un certo punto ho questo codice: > > ldapsearch -LLL \ > -D "$bind_ns" \ > -w "$pwd_ns" \ > -b "$baseaddress_ns" \ > -H "ldaps://ad.csaricerche.com" \ > '(&(objectClass=user)(!(isCriticalSystemObject=TRUE))(!(logonCount=0))(memberOf=CN=utenti,CN=Users,DC=ad,DC=csaricerche,DC=com))' > \ > sAMAccountName displayName userPrincipalName | \ > sed -e 's/userPrincipalName:/mail:/' \ > -e "s/$container_ns/$container_ab/" \ > -e "s/sAMAccountName:\ \(.*\)/cn: \1/" \ > -e "s/displayName:\ \(.*\)$/displayName: \1\nsn: \1\nou: > utenti\nobjectClass: top\nobjectClass: inetOrgPerson/"> $ldap_ns_path > > che in altre parole vorrebbe semplicemente interrogare sAMAccountName > displayName userPrincipalName ed aggiungere sn con la stessa cosa che trova > in userPrincipalName e poi altri ammenicoli necessari per l'importazione > successiva in un altro db. > > Il tutto ha funzionato bene per anni ma ora in displayName di un record è > stata inserita un'accentata e questo fa si che il comando sopra, al record > contenente un'accentata, non venga aggiunto né sn né gli altri ammenicoli > mentre compaioni : aggiuntivi al displayName. > > In altre parole per il record in questione viene restituito come > > dn: CN=enicolo,OU=UsersAndGroups,DC=ad,DC=mydomain,DC=ext > cn: enicolo > mail: enic...@mydomain.ext > displayName:: Tmljb2zDsiBFZG9hcmRv > > dove Tmljb2zDsiBFZG9hcmRv è la stringa contenente una o accentata codificata > in base64: > > > # echo Tmljb2zDsiBFZG9hcmRv | base64 --decode > > Nicolò Edoardo > > Invece sed avrebbe dovuto restituire > > dn: CN=enicolo,OU=UsersAndGroups,DC=ad,DC=mydomain,DC=ext > cn: enicolo > mail: enic...@mydomain.ext > displayName: Tmljb2zDsiBFZG9hcmRv > sn: Tmljb2zDsiBFZG9hcmRv > ou: utenti > objectClass: top > objectClass: inetOrgPerson > > > Qualcuno ha qualche idea di cosa dabbia fastidio a sed? > > Grazie > > Piviul Non è una soluzione ma è relativo a questo problema in generale: There's No Such Thing As Plain Text • Dylan Beattie • YOW! 2023 https://www.youtube.com/watch?v=ajfb5LSbQVM -- Amike, Marco Ciampa
Re: strano problemino con stringhe base64
On 3/12/24 18:04, Giuseppe Sacco wrote: Ciao Piviul, Il giorno mar, 12/03/2024 alle 10.18 +0100, Piviul ha scritto: Ciao a tutti, ho uno script che interroga (ldapsearch) alcuni campi di un db ldap e aggiunge alcuni altri ammenicoli che poi importa in un altro db sempre ldap. [...] -e "s/displayName:\ \(.*\)$/displayName: \1\nsn: \1\nou: utenti\nobjectClass: top\nobjectClass: inetOrgPerson/"> $ldap_ns_path [...] Mi pare di capire che sed sostituisca solo le linee che contengono "displayName:" seguito da uno spazio. Nel tuo caso "displayName:" non è seguito da uno spazio, ma dal secondo ":", sicché sed non lo prende in considerazione. Forse dovresti cambiare l'espressione con le regex estese, così: sed -E -e "s/displayName(:|::)\ (.*)$/displayName\1 \2/" Grazie Giuseppe, hai ragione, che pataca! Grazie ancora, ora è proprio tutto risolto... anzi quasi... per caso in sed, nella sostituzione si possono inserire comandi... qualcosa tipo echo "displayName:: Tmljb2zDsiBFZG9hcmRv" | sed -E -e "s/(displayName:): (.*)$/\1 $(echo "\2" | base64 -i --decode)/" Purtroppo non funziona, restituisce l'errore "base64: input non valido" ma non capisco perché; questo però funziona echo "displayName:: Tmljb2zDsiBFZG9hcmRv" | sed -E -e "s/(displayName:): (.*)$/\1 $(echo "\2")/" e restituisce displayName: Tmljb2zDsiBFZG9hcmRv Quindi sembra non venga interpretato correttamente il pipe... hai qualche suggerimento? Piviul
Re: strano problemino con stringhe base64
On 3/12/24 14:44, Diego Zuccato wrote: Mah, ma me pare che funzioni rimuovendo la parte '-e "s/$container_ns/$container_ab/"' che non posso testare in quanto non so cosa ci sia nelle variabili container_ns e container_ab . Magari c'è qualcosa di strano che interferisce? hai ragione, non lo puoi verificare e mi scuso, comunque ho risolto. Questo codice ora funziona: ldapsearch -LLL \ -D "$bind_ns" \ -w "$pwd_ns" \ -b "$baseaddress_ns" \ -H "ldaps://ad.mydomain.ext" \ '(&(objectClass=user)(!(isCriticalSystemObject=TRUE))(!(logonCount=0))(memberOf=CN=utenti,CN=Users,DC=ad,DC=mydomain,DC=ext))' \ sAMAccountName displayName userPrincipalName | \ sed -e 's/userPrincipalName:/mail:/' \ -e "s/$container_ns/$container_ab/" \ -e "s/sAMAccountName:\ \(.*\)/cn: \1/" \ -e "s/displayName:[[:space:]]*\([[:print:]]*\)$/displayName: \1\nsn: \1\nou: utenti\nobjectClass: top\nobjectClass: inetOrgPerson/"> $ldap_ns_path in cui mi limito a prendere tutti i caratteri stampabili invece di prendere tutti i caratteri dopo displayName:[[:space:]]. Ora l'utente incriminato viene restituito come: dn: CN=enicolo,OU=UsersAndGroups,DC=ad,DC=mydomain,DC=ext cn: enicolo mail: enic...@mydomain.ext displayName: : Tmljb2zDsiBFZG9hcmRv sn: : Tmljb2zDsiBFZG9hcmRv ou: utenti objectClass: top objectClass: inetOrgPerson Mi rimane solo da decodificare displayName e sn, stringhe in bas64... per fortuna ldapsearch aggiunge ":" alle stringhe codificate in bas64 così supponendo che non ci siano ":" nei campi restituiti da ldapsearch (sAMAccountName, displayName e userPrincipalName) l'ho risolto così: ifs=$IFS IFS=" " for r in $(grep displayName $ldap_ns_path); do dn64=$(echo $r | cut -f3 -d: | grep -o "[^[:space:]]*") [ -z "$dn64" ] && continue dn=$(echo $dn64 | base64 -i --decode) sed -i "s/: $dn64/$dn/" $ldap_ns_path done IFS=$ifs Grazie per la pazienza Piviul
