Re: Compilare Linux (ERA: Re: cortese domanda su apt-listbugs)
On 21/12/19 12:13, Portobello wrote: Il 20/12/19 20:20, Davide Prina ha scritto: $ cat /proc/cpuinfo processor : 0 vendor_id : AuthenticAMD cpu family : 15 model : 95 model name : AMD Athlon(tm) 64 Processor 3500+ stepping : 2 controlla questi due Processor type and features ---> Processor family ---> Opteron/Athlon64/Hammer/K8 Processor type and features ---> Supported processor vendors ---> Support AMD processors Ciao Davide -- Dizionari: http://linguistico.sourceforge.net/wiki Browser: http://www.mozilla.org/products/firefox GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: Compilare Linux (ERA: Re: cortese domanda su apt-listbugs)
On 22/12/19 15:54, Portobello wrote: Il 20/12/19 20:20, Davide Prina ha scritto: On 20/12/19 10:46, Portobello wrote: ~$ top che i processi che usano maggiore memoria e % di CPU sono 3: PID USER PR NI S %CPU %MEM TIME+ COMMAND 477 clamav 20 0 R 39,3 6,4 1:45.32 clamd 970 clamav 20 0 R 39,3 6,4 1:49.07 freshclam 906 root 20 0 D 8,2 2,9 0:39.68 samhain 909 root 20 0 S 5,6 2,6 0:09.96 samhain Clamav è l'antivirus. freshclam è l'aggiornamento dei virus. che sappia io quell'antivirus si usa sui server GNU/Linux che devono trattare cose date ad utenti m$ (es: posta). Su un desktop GNU/Linux non mi sembra che abbia qualche utilità. Magari è questo che ti rallenta la compilazione di Linux... ogni volta che viene creato un file di compilazione quello va a leggerlo e verificare se ci sono virus... samhain è un sistema anti-intrusione per i files e le directory. Ma è stato soltanto installato e non configurato come si deve. non so cosa sia. Ogni tanto compare anche snort che è un altro sistema di monitoraggio della rete. ma penso che questo possa essere utile se hai una rete di PC e vuoi cercare di individuare cosa è leggittimo da cosa non lo è. Su un desktop forse è eccessivo... Questi pacchetti servono o non servono ? dipende da te: li sai usare? li usi correttamente? li hai configurati in modo appropriato? l'hardening consiste anche nel rimuovere tutto ciò che non ti è strettamente necessario... Appunto, questo è il mio problema, che io non so esattamente ciò che serve e ciò che non serve nel mio sistema. Comunque pensavo di usare un metodo del genere: 1) Analizzo i processi in esecuzione con TOP. 2) Quello che non serve, lo rimuovo e lo dimentico. 3) Quello che serve, lo tengo, e poi vado a vedere se è configurato bene. Cerco i manuali li studio e approfondisco per quanto mi permettono le mie conoscenze tecniche (che sono limitate). non mi sembra l'approccio più corretto. Forse è meglio che ti leggi un po' di documentazione dal sito di Debian. Studiati i manuali generali prima e poi passa a leggerti come amministrare un sistema Debian e poi l'hardening. Ciao Davide -- Dizionari: http://linguistico.sourceforge.net/wiki Esci dall'illegalità: utilizza LibreOffice/OpenOffice: http://linguistico.sf.net/wiki/doku.php?id=usaooo Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: uso di GID molto alti
On 21/12/19 19:25, Leonardo Boselli wrote: il numero degli utenti del sistema è oltre i 18 con poche eccezioni di utenti che sono membri di migliaia di gruppi, gli altri sono normalmente membri di qualche decina di gruppi. secondo me per risolvere semplicemente e avere una soluzione efficiente, dal punto di vista della velocità, dovresti poter associare ai file più GID, in modo che poi ogni utente possa agire su tutti i file a cui è associato il suo GID. Da quello che dici sarebbero pochi i file che avrebbero un numero elevato di GID associati Però non so come potresti fare qualcosa del genere :-( Fare l'inverso: associare ad ogni utente un elenco di gruppi, secondo me, potrebbe rendere lenta l'esecuzione, oltre a dover creare un gran numero di gruppi ulteriori. Probabilmente puoi usare i namespaces: ogni namepaces è un gruppo e in quel gruppo ci butti dentro soltanto i processi degli utenti di quel gruppo... il problema è che se un utente appartiene a più gruppi può vedere un gruppo alla volta. Ma anche qui dovendone creare così tati non so se avresti problemi prestazionali. Un'altra soluzione potrebbe essere che ogni gruppo corrisponde ad una directory. Ad ogni utente monti (link simbolico) l'elenco delle directory a cui appartiene. Il problema è che ogni utente, in teoria, potrebbe leggere/scrivere ogni file di ogni gruppo... se accedesse direttamente alla directory reale, ache se non montata per lui. Magari puoi fare un mix tra le ultime due soluzioni: 1) un utente entra 2) crei un namespace con le directory (gruppi) che l'utente può vedere 3) sposti l'utente (il pid del processo usato per visionare i file) in quel namespace Naturalmente i file e le directory all'esterno del namespace non devono essere visibili agli utenti. In questo modo, se il numero di utenti contemporanei è contenuto, dovresti avere buone prestazioni. Ciao Davide -- Dizionari: http://linguistico.sourceforge.net/wiki Fate una prova di guida ... e tenetevi la macchina!: http://linguistico.sf.net/wiki/doku.php?id=usaooo2 Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: Malware per Linux
On 22/12/19 10:48, Portobello wrote: Il 20/12/19 21:04, Davide Prina ha scritto: # spectre-meltdown-checker * CPU vulnerability to the speculative execution attack variants * Vulnerable to CVE-2017-5753 (Spectre Variant 1, bounds check bypass): YES * Vulnerable to CVE-2017-5715 (Spectre Variant 2, branch target injection): YES Per il resto del Report dice che è tutto STATUS: NOT VULNERABLE. Ma lo devo leggere un po meglio e con calma, perché ci sono parecchi warning. guarda che sopra ti dice che il tuo processore è vulnerabile a due CVE, ma dovrebbe esserci un summary come ultima riga in cui ti indica con sfondo rosso i CVE per cui non hai mitigazione... Probabilmente, visto che tu usi stable, non stai usando l'ultima versione (o per lo meno una più recente)... prova a prenderla da testing. Tieni presente che avendo una CPU vecchiotta probabilmente il tuo produttore di CPU non rilascia il microcode aggiornato :-( Cioa Davide -- Dizionari: http://linguistico.sourceforge.net/wiki Sistema operativo: http://www.debian.org GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: Malware per Linux
On 23/12/19 18:45, Sabrewolf wrote: Il 21/12/19 19:17, Davide Prina ha scritto: On 20/12/19 23:27, Sabrewolf wrote: In realtà fino ad ora io non ho visto neanche mezzo malware che si installa attraverso i bug delle cpu scoperti negli ultimi anni. come dicevo non è necessaria l'installazione... basta l'esecuzione. Ad esempio una pagina con del javascript. Così come non ho ancora visto un malware che sfutta i bug delle cpu, allo stesso modo non conosco pagine web (proof of concept) che eseguono codice non autorizzato attraverso tali bug. hai proprio ragione. Anch'io non so guidare un aereo, né conosco nessuno che sappia farlo e neppure ho mai visto dal vivo qualcuno che guidasse un aereo. Quindi ne deduco che nessuno sia capace di farlo e anzi sia impossibile guidare un aereo... probabilmente gli aerei non esistono! ;-) Ehi ma allora non esistono neanche i sottomarini, lo space shattle, la stazione spaziale internazionale, ... accidenti devono essere tutti prodotti della fantascienza :-( Per esempio facebook sta cercando di convincere che ha necessità di tracciare i suoi utenti anche se questi hanno disabilitato il loro tracciamento[¹] (penso per le app di facebook, whatsup, ...). Secondo me questo è un malware... poi per altri potrebbe non esserlo ;-) Non credo che il GPS del cellulare o del navigatore satellitare si possa definire un malware :D non hai letto né l'articolo, né quanto avevo scritto io :-( Annunci si...Ma exploit ? Proof-Of-Concept ? Continuo a leggere annunci ma non vedo exploit... in alcuni casi, come in questi, i ricercatori non diramano, almeno all'inizio, come sfruttare un bug. Se vai a leggerti i CVE probabilmente trovi come sfruttare alcuni dei bug dove hanno già rilasciato da tempo le mitigazioni del caso... e per sfruttarli facilmente con successo devi usare un PC che non abbia tali mitigazioni attivate. Ad esempio, se fai qualche piccola ricerca con un qualsiasi motore di ricerca puoi torvare facilmente qualcosa, come questa: se conosci un po' l'assembler poi trovare un esempio che ti fa vedere come crearti delle istruzioni che, in teoria non possono essere eseguite come utente normale, ma grazie al fatto che per velocizzare l'esecuzione il processore esegue comunque le istruzioni successive... hai letto qualcosa che non avresti potuto leggere. Ciao Davide [¹] https://www.theregister.co.uk/2018/01/04/intel_amd_arm_cpu_vulnerability/?__cf_chl_jschl_tk__=60612731c1adc9fec3ebeaff5f30c978cf97c50e-1577127663-0-Ac5iTQBadm8EOXPkkgRsXeT2TJCYayyt46UF-noZy1ckCA0u0GDVvMoEIny54NJ2YFMj8kB_uNGHcay5anyZhlA5Ni0t9wXAZH3m0c29TtekgVVwk3__LXamFSvlusf1k8KddbnPJFrYmKw40oF5ZSIfip1XugZPHDUDcly3_dNd8Ym-CY9R3_mQYx3UbFqie6P8UIZ2YWI4ncHB2HfsdM9dAR982aBB12qjX1cbdeFkOliblUrI0Z3gdldUSz4WZ4Q64yApwcH1TAveqaXPtguVC5RsCRXwy3bCkkZO7l_-3odQn5S_ik2yse4vNhnzDg -- Dizionari: http://linguistico.sourceforge.net/wiki Elenco di software libero: http://tinyurl.com/eddgj GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: Malware per Linux
Il 21/12/19 19:17, Davide Prina ha scritto: On 20/12/19 23:27, Sabrewolf wrote: In realtà fino ad ora io non ho visto neanche mezzo malware che si installa attraverso i bug delle cpu scoperti negli ultimi anni. come dicevo non è necessaria l'installazione... basta l'esecuzione. Ad esempio una pagina con del javascript. Così come non ho ancora visto un malware che sfutta i bug delle cpu, allo stesso modo non conosco pagine web (proof of concept) che eseguono codice non autorizzato attraverso tali bug. Per esempio facebook sta cercando di convincere che ha necessità di tracciare i suoi utenti anche se questi hanno disabilitato il loro tracciamento[¹] (penso per le app di facebook, whatsup, ...). Secondo me questo è un malware... poi per altri potrebbe non esserlo ;-) Non credo che il GPS del cellulare o del navigatore satellitare si possa definire un malware :D Ora io non ho un telefonino, né l'ho mai avuto, quindi non ho idea di cosa significhi disabilitare il tracciamento (è un qualcosa di software/hardware/del sistema operativo/della singola app), probabilmente ci riesce sfruttando anche bug hardware, oltre che software? Non ne hanno bisogno perché chi usa i social network i bug ce li ha nel cervello. Inoltre un comportamento del genere sarebbe folle per una azienda piccolina figuriamoci per facebook e colossi finanziari del genere. Scoprire che un'applicazione di un'azienda si comporta come un virus che sfrutta bug hardware equivale alla fine dell'azienda stessa. Un suicidio aziendale e finanziario. Una specie di scandalo cambridge analytica moltiplicato per 100. Poi altri esempi possono essere: * bug delle sim [²] * bug che permette di avere la chiave privata del TPM[³] * l'FBI ha diramato un annuncio che indica il MFA (Multi Factor Authentication) che usa i telefonini come non sicuro e il numero di truffe si sta ampliando * l'FBI ha diramato un annuncio che indica che gli smart TV sono attaccati e queste potrebbero essere il punto d'ingresso per impadronirsi di modem e rete... inoltre possono attivare microfono/telecamere per spiare * ... Annunci si...Ma exploit ? Proof-Of-Concept ? Continuo a leggere annunci ma non vedo exploit... Infine l'ISTAT ha diramato qualche giorno fa che le frodi finanziarie sono in ascesa... ma per chi ha più di, mi sembra, 40-50 anni sono in diminuzione, mentre per chi ha meno di tale età sono in aumento... e più si abbassa l'età e maggiore è l'incremento delle frodi finanziarie. Anche qui probabilmente utilizzano i bug hardware dei telefonini + il fatto che molti giovani usano il telefonino per fare tutto e installano di tutto... poi usano il telefonino sia per avere i codici di accesso alla banca, che per collegarsi alla banca per fare operazioni... questo vuol dire che stanno usando un solo fattore di autenticazione (il telefonino) e se viene compromesso quello aprono la porta d'accesso al loro conto bancario. Non so dove trovare questo articolo ma probabilmente per frode finanziaria si riferiscono al classico inganno di convincere la gente a fare investimenti simili ai giochi dei casinò. Anche in questo caso il bug è nel cervello della gente non nella cpu.
Re: pan 0.145
Il 23/12/19 13:30, Filippo Dal Bosco - ha scritto: > Pan 0.145 ( news usenet ) presente in debian 10 funziona > > Pan 0.146 presente in bulleyes non funziona, quando spedisco un > messaggio dice che l' indirizzo email è mal formato. > > Non può essere un problema di configurazione perchè il file di > configurazione è identico > > > come potrei fare ad installare 0.145 in bulleyes ? > > pensavo di fare in debian 10 il download del pacchetto > > in bulleyes " apt purge pan* " > > e poi installarlo con dpkg in bulleyes > sperando che le dipendenze non diano troppi problemi > Non conosco pan, e comunque attualmente non faccio uso di newsreader se ho capito bene il tipo di programma, però curiosando nel changelog [0], vedo che il tuo problema può dipendere dal fatto che hanno usato versioni recenti di gmime e debhelper (per la versione 0.146), non so se "te le ha tirate dietro" in occasione dell'aggiornamento? Diversamente forse nel readme [1], trovi risposta per quel che riguarda la 0.146, anche se la mano sul fuoco non ce la metto. :) [0] https://metadata.ftp-master.debian.org/changelogs//main/p/pan/pan_0.146-1_changelog [1] https://gitlab.gnome.org/GNOME/pan/raw/master/README -- _|_|_|_|_|_|_|_|_|_ |_|_|_|_|_|_|_|_|_|_| Simone Girardelli
pan 0.145
Pan 0.145 ( news usenet ) presente in debian 10 funziona Pan 0.146 presente in bulleyes non funziona, quando spedisco un messaggio dice che l' indirizzo email è mal formato. Non può essere un problema di configurazione perchè il file di configurazione è identico come potrei fare ad installare 0.145 in bulleyes ? pensavo di fare in debian 10 il download del pacchetto in bulleyes " apt purge pan* " e poi installarlo con dpkg in bulleyes sperando che le dipendenze non diano troppi problemi -- Filippo
Consiglio hardware virtualizzazione
Ciao a tutti, con l'anno nuovo probabilmente e finalmente incomincieremo a virtualizzare qualche server. Tenendo conto che mi sono sempre trovato bene con server assemblati pensavo anche per la virtualizzazione di continuare sulla stessa strada. Qualcuno ha qualche esperienza in merito, qualche consiglio sugli acquisti necessari tipo scheda madre/case... Grazie Piviul