:: syscallme :: » Linux

VNC via HTTP con Guacamole: vediamolo su Ubuntu!

daniele — Mon, 26 Jul 2010 10:16:56 +0000

Come promesso scrivo qualche riga su un’applicazione che ho provato qualche mese fa e mi ha stupito veramente veramente tanto: Guacamole. No ragazzi, non parlo della (buonissima peraltro) salsa messicana!

Guacamole è un viewer VNC scritto in HTML5 e Javascript, che fa uso di piccolo proxy, server side scritto in Java. Per questo avrete necessità di deployarla all’interno di un qualsiasi servlet container. Io ho sempre utilizzato Apache Tomcat.

Utilizzandola avrete la possibilità di accedere al server sul quale è installata da un comunissimo browser compliant con gli standard HTML5; da lì, avrete il “possesso” completo della vostra macchina, come se foste in console e…beh, al diavolo il proxy HTTP che vi blocca le connessioni SSH (tanto per fare un piccolo riferimento al mio post precedente)!

Cmq, mi sembra superfluo continuare le spiegazioni (anche perchè non c’è molto altro da dire). Io proporrei di vederlo all’opera…voi che dite?

Il contesto

Due righe per spiegare dove e come proveremo Guacamole. Anzitutto l’OS: trattasi di una fantastica GNU/Linux Ubuntu Lucid Lynx 10.04 LTS; direi il capolavoro di Canonical. Quindi il servlet container scelto che, come detto, è Apache Tomcat in versione 6.0.24. In ultimo la versione della jdk: una 1.60_20 per piattaforma 64bit. Ok ora sappiamo tutto. Andiamo a provare Guacamole!

Installare Guacamole su Ubuntu 10.04

Anzitutto ci occorrerà installare un VNC server. Guacamole, come detto, utilizza un proxettino che si metterà in contatto con il questo VNC server e otterrà la view della vostra console che poi verrà ri-renderizzata in HTML5 e Javascript.

Io come VNC server ho utilizzato X11VNC. Perchè è semplice da installare (basta un apt-get install); perchè il deamon lo gestisci via xinetd (che comunque installeremo) e a me questa cosa piace; ma soprattutto perchè è consigliato dagli stessi creatori di Guacamole! Vediamo come installarlo:

root@ubuntu ~# apt-get install x11vnc xinetd

e configuriamo xinetd per gestire X11VNC: creiamo il file /etc/xinetd.d/x11vnc che contenga:

service x11vnc
{
port        = 5900
only_from   = localhost
type        = UNLISTED
socket_type = stream
protocol    = tcp
wait        = no
user        = root
server      = /usr/bin/x11vnc
server_args = -inetd -display :0 -o /var/log/x11vnc.log -24to32 -scr always -xkb
disable     = no
}

Delle stringhe inserite qua sopra, la più rilevante è quella relativa ai server_args. Su Ubuntu questa è la configurazione ottimale, tuttavia ho già verificato che su altre distro c’è qualcosa da modificare (tipo Debian Lenny…). Ovviamente le modifiche dipendono direttamente da come viene configurato e gestito l’X server dalle varie distro. Diciamo che anche nella situazione peggiore, una googlata e un po’ di dimestichezza con l’X server dovrebbe risolvervi il problema.

Notate inoltre che il server VNC sarà in listening solo su localhost (istruzione “only_from”). Ovviamente, dato che il traffico VNC serve solo a guacamole che, nel nostro caso perlomeno, risiederà sulla stessa macchina server, non occorre esporre troppo il servizio.

Diciamo che le altre voci dovrebbero essere semplici da capire. Come semplice da capire è che il server VNC andrà in listening sulla porta 5900 e utilizzeremo il display :0.

In ogni modo ora X11VNC e xinetd sono installati e configurati. Un piccolo restart

root@ubuntu ~# /etc/init.d/xinetd restart

e siamo apposto. Ora occupiamoci di Guacamole.

Chi non è nuovo di questo blog, sa che quando voglio installare un’applicativo che andrà in run da utente non privilegiato, io anzitutto creo un utente apposito e sfrutto la sua $HOME per installare l’applicazione che dovrà gestire. Apache Tomcat è un classico software che gira da utente non privilegiato. Di conseguenza creo l’utente “tomcat” che lo gestirà

root@ubuntu ~# groupadd tomcat
root@ubuntu ~# useradd -g tomcat -d /home/tomcat -m -s /bin/bash tomcat

e divento utente tomcat.

root@ubuntu ~# su - tomcat
tomcat@ubuntu ~$

Tutto quello che accadrà da ora in poi sarà completamente “responsabilità” del nuovo utente

Siamo pronti per procurarci (prima di tutto) il software che ci serve. Quindi, prima di continuare la vostra lettura, assicurative di scaricare:

la JDK a questo indirizzo: http://java.sun.com/javase/downloads/widget/jdk6.jsp
Apache Tomcat a questo: http://tomcat.apache.org/download-60.cgi
Guacamole sulla sua pagina Sourceforge: http://sourceforge.net/projects/guacamole/

Mettiamo tutto in una directory di proprietà dell’utente “tomcat” che chiameremo “pkg” e diamo i giusti permessi.

Come prima cosa installiamo la JDK e mettiamola nel $PATH dell’utente tomcat. Anzitutto diamo al .bin appena scaricato i permessi di eseguibilità

tomcat@ubuntu ~$ chmod u+x jdk-6u20-linux-x64.bin

e quindi runniamo l’eseguibile

tomcat@ubuntu ~/pkg $ ./jdk-6u20-linux-x64.bin

Creiamo un link simbolico per la dir della jdk. Questo ci darà due vantaggi:

semplificare la path
effettuare tutti i settings relativi alla messa in PATH della JavaVM utilizzando un percorso che non cambierà mai a prescindere le versioni della JDK che cambierete nel tempo.

tomcat@ubuntu ~$ ln -s ./jdk1.6.0_22 java

Quindi modifichiamo il .bashrc dell’utente inserendo queste due righe:

export JAVA_HOME="/home/tomcat/java"
export PATH="$JAVA_HOME/bin:$PATH"

e ricarichiamo le impostazioni utente

tomcat@ubuntu ~$ . .bashrc

Se ora diamo un colpetto di which dovremo vedere che java viene correttamente identificato

tomcat@ubuntu ~$ which java
/home/tomcat/java/bin/java

A questo punto passiamo a Tomcat. Spacchettiamo il .tar.gz che abbiamo scaricato (ricordo che stiamo provando con la versione 6.0.24) e spostiamolo nella home dell’utente.

tomcat@ubuntu ~/pkg $ tar zxvf apache-tomcat-6.0.24.tar.gz
tomcat@ubuntu ~/pkg $ mv apache-tomcat6.0.24 ..

Ora, sempre nella dir ~/pkg spacchettiamo anche Guacamole:

tomcat@ubuntu ~/pkg $ tar zxvf guacamole-0.26.tar.gz

All’interno della directory spacchettata troverete i seguenti files:

guacamole.war: è il compilato dell’applicazione che deployeremo più tardi all’interno di Tomcat
guacamole.xml: l’xml del contesto. Poche modifiche ed è già bello e pronto
guacamole-users.xml: è il file xml che definisce l’autenticazione HTTP per accedere a guacamole. Anche questo provvederemo a modificarlo
guacamole-src.tar: per chiunque ne senta il bisogno…ecco il sorgente!
LICENSE.txt: la tua copia della licenza con cui è rilasciato Guacamole. Che è la GPL3.

Cominciamo l’installazione. Anzitutto copiamo il file guacamole.war all’interno della folder “webapps” del vostro tomcat.

tomcat@ubuntu ~/pkg/guacamole-0.26 $ cp guacamole.war /home/tomcat/apache-tomcat6.0.24/webapps

Quindi copiamo il file guacamole-users.xml nella folder di conf di tomcat. Se aprite questo file, inoltre, vi accorgerete che la password è settata a “changeme”. Beh lo dice la parola stessa…modificatela!

tomcat@ubuntu ~/pkg/guacamole-0.26 $ cp guacamole-users.xml /home/tomcat/apache-tomcat6.0.24/conf

Ora tocca al file di contesto. Apriamolo e modifichiamo la docBase del Context, specificando la path assoluta di dove si trova il nostro file .war. In poche parole sostituiamo questa riga qui:

con questa qui

Richiudetelo e spostatelo nella folder Catalina/localhost da creare all’interno della directory “conf”. Così

tomcat@ubuntu ~$ mkdir -p apache-tomcat6.0.24/conf/Catalina/localhost
tomcat@ubuntu ~$ cp pkg/guacamole.xml apache-tomcat6.0.24/conf/Catalina/localhost

Ok signori. Abbiamo finito. Startiamo tomcat

tomcat@ubuntu ~$ cd apache-tomcat6.0.24/bin
tomcat@ubuntu ~/apache-tomcat6.0.24/bin $ ./catalina.sh start

e visitiamo la paginetta http://localhost:8080/guacamole. Inseriamo user e password specificati nel file guacamole-users.xml e… UALA’! Il VNC via HTTP è servito!

Bookmark It

Corkscrew: tunneling ssh attraverso un proxy HTTP/HTTPS

daniele — Wed, 21 Jul 2010 13:29:20 +0000

E’ effettivamente molto tempo che non scrivo più un post tecnico, un how-to, una guida o qualcosa che ci somigli. Lo ametto, un po’ queste pagine mi mancavano. Mi sono chiesto cosa raccontarvi, ce ne sarebbero in realtà di cose, ma cerco sempre di trovare argomenti che siano sì interessanti, ma anche “sfiziosi”, che raccolgano le attenzioni di un pubblico vasto, che rispondano ad esigenze specifiche.

E allora ho pensato: perchè non raccontare come garantirsi una connettività ssh anche quando sembra impossibile?

Lo scopo di questo post è dare le indicazioni necessarie per permettere alla propria Linux-box di raggiungere in ssh qualsiasi server sparso nel pianeta, anche nella situazione più scomoda del mondo. Quando, cioè, la nostra connettività è sottomessa ad un cattivissimo proxy che ci lascia libere solo le porte HTTP e HTTPS in uscita. Per farlo eseguiremo un tunneling ssh attraverso il nostro maledettissimo proxy, e sfrutteremo un softwarino open piccolo piccolo ma potente potente: Corkscrew.

Un po’ di teoria (semplificata)

Probabilmente sappiamo tutti cos’è un proxy e come funziona. Se qualcuno avesse dei dubbi, può dare un’occhiata alla pagina relativa su Wikipedia. Molto spesso, essere dietro ad un proxy HTTP, vuol dire dover rinunciare a tutti i flussi comunicativi che non siano, appunto, flussi HTTP o HTTPS. Il che si traduce in una semplice affermazione:

qualsiasi tentantivo di connessione verso l’esterno diretto verso porte diverse dall’80 (HTTP) e dalla 443 (HTTPS) risulteranno bloccati dal proxy.

Come sappiamo, quando provo a loggarmi in ssh su un server remoto, sto provando ad istanziare una connessione sulla porta 22 di questo server. Ovviamente il proxy HTTP non mi farà passare. Come risolvere questo problema?

Diciamo che la soluzione che mi sono divertito a trovare non è proprio “a basso impatto”!! Nello specifico si tratta di utilizzare (e quindi di base di avere a disposizione…) un “server ponte”, sul quale settare SSH in listening sulla 443.

La 443 è la porta dell’HTTPS. L’HTTPS è consentito generalmente da un classico proxy HTTP. Di conseguenza, istanziando una connessione ssh sul nostro “server ponte”, stiamo materialmente chiedendo al nostro proxy di far passare un flusso dati destinato ad una porta che lui considera abilitata.

Questo è il nostro ambiente, questo è quello che spiegheremo di seguito.

Due parole su Corkscrew

Corkscrew è, banalmente e semplicemente, un software che permette la realizzazione di tunnels ssh attraverso proxies HTTP. La sua home page è questa: http://www.agroman.net/corkscrew. Se utilizzate Debian o Ubuntu (server o desktop non fa differenza) ve lo trovate già pacchettizzato. Altrimenti dovrete attrezzarvi e compilarlo, ma non è certo un lavorone. Nel nostro caso utilizzeremo come “distribuzione-esempio” Ubuntu Lucid Lynx 10.04 LTS.

La configurazione di Corkscrew è veramente semplice e consta di un file config che va posizionato all’interno della cartella .ssh che ogni utente linux dovrebbe avere nella sua $HOME.

Iniziamo a lavorare

Configuriamo il server ponte

Cominciamo dal nostro “server ponte” Qui dovremmo mettere SSH in ascolto sulla 443. Non lo togliamo, però, dalla porta 22 perchè può sempre tornare utile!

Per fare ciò è sufficiente aprire il file /etc/sshd/sshd_config ed aggiungere la seguente stringa:

Port 443

sotto la dichiarazione (uguale peraltro) relativa alla porta 22. Restartate SSH

root@ubuntu-server:~# /etc/init.d/ssh restart
* Restarting OpenBSD Secure Shell server sshd
...done.

e il gioco è fatto. Con un piccolo netstat vedremo che SSH è correttamente in LISTENING sulla porta 443.

root@ubuntu-server:~# netstat -natp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      16680/sshd
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      10661/exim4
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      16680/sshd
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      11369/mysqld
tcp6       0      0 :::80                   :::*                    LISTEN      3895/apache2
tcp6       0      0 :::22                   :::*                    LISTEN      16680/sshd
tcp6       0      0 :::443                  :::*                    LISTEN      16680/sshd

Come potete vedere nella terza riga, SSH aspetta la nostra connessione sulla porta 443. Perfetto! Ora procediamo a configurare il client.

Configuriamo il nostro client

Sul nostro client, anzitutto, scarichiamo corkscrew. Può bastare un colpetto di apt-get…

root@ubuntu-client:~# apt-get install corkscrew

Una volta concluso download ed installazione del pacchetto entriamo nella nostra directory .ssh

root@ubuntu-client:~# cd .ssh

e qui creiamo il nostro file “config”

root@ubuntu-client:~/.ssh # vi config

che conterrà due righe due

Host my.serverponte.com
ProxyCommand corkscrew my.proxy.local 8080 %h 443

Ovviamente sostituite “my.proxy.local” con l’indirizzo o il FQDN del vostro proxy e 8080 con la porta sulla quale esso è in listening. Una volta fatto ciò il gioco è fatto. Dalla vostra shell digitate

root@ubuntu-client:~# ssh root@my.serverponte.com

Una volta che siete lì…siete dappertutto!!!

E se il mio proxy necessita di credenziali???

A volte può accadere che sia necessario inserire delle credenziali per accedere al proxy. In quel caso è necessario scrivere quelle credenziali in un authfile. Creiamolo:

root@ubuntu-client:~# vi ~/.ssh/authfile

e scriviamo all’interno le nostre credenziali, prima la username, poi la password separate da un “:”. In questo modo

username:password

Per farlo leggere al file config è necessario aggiungere alla seconda riga del config la path (anche relativa) dell’authfile. Il config diventerà quindi:

Host my.serverponte.com
ProxyCommand corkscrew my.proxy.local 8080 %h 443 authfile

Nel nostro caso, dato che l’authfile si trova esattamente allo stesso livello del file config può bastare inserire solo il nome del file.

Ok anche qui il gioco è fatto. Un colpetto di ssh sul serverponte e siete fuori!

ATTENZIONE!!!

Attenzione: tutte le indicazioni date sopra potrebbero non essere valide (quindi non funzionare!) se il vostro è un proxy NTLM. In quel caso dovrete utilizzare corkscrew in combinazione con NTLMAPS. Ma questa è un’altra storia…che forse scriverò!

Enjoy!

Bookmark It

My cat is plotting to kill you…

daniele — Wed, 16 Dec 2009 10:38:07 +0000

Piccolo e brevissimo post che piacerà molto a tutti quelli che vivono con un gattino (più o meno “-ino”).

Fate un salto su questo sito

http://www.catswhothrowupgrass.com/kill.php

e date un’occhiata a tutti i pericoli che corriamo quotidianamente noi che ospitiamo un felino nelle nostre case!!

Ho fatto anche il test e…

Bookmark It

Installare Php 5.3.x in CentOs5

daniele — Mon, 07 Dec 2009 12:37:16 +0000

RedHat non da supporto per nessuna versione PHP più alta della 5.1.6 e oggettivamente, mettersi a compilare non è proprio il massimo della vita, considerando anche che poi, una volta finita la compilazione, ci troveremmo con tutte le dipendenze broken.

Di conseguenza CentOs (che segue pedissequamente i rilasci degli rpm-src RHEL), anche nella sua latest 5.4, ti propone PHP 5.1.6 come versione standard. Il che ti può creare problemi se hai una applicazione che utilizza versioni più elevate (cosa molto comune se hai sviluppato qualcosa con Zend Framework).

Al chè ho pensato potesse essere utile scrivere due righe di guida per capire come aggiornare il sistema CentOs a versioni più recenti della 5.1.6.

Per installare una versione più “alta” di PHP potete utilizzare l’RPM Repository gestito e mantenuto da Remi.

Innanzitutto scaricatevi e installate gli rpm di riferimento in questo modo:

wget http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-3.noarch.rpm
wget http://rpms.famillecollet.com/enterprise/remi-release-5.rpm
rpm -Uvh remi-release-5*.rpm epel-release-5*.rpm

Ora i repos sono installati sul vostro sistema ma non sono abilitati. Non c’è bisogno di farlo, potete gestirli direttamente da linea di comando. Ora aggiorniamo la nostra release di PHP.

yum --enablerepo=remi update php

se non avete ancora installato PHP al posto della parolina “update” scrivete “install”.
Ok il gioco è fatto, controllate la nuova versione in questo modo:

[root@jessica ~]# php -v
PHP 5.3.1 (cli) (built: Nov 20 2009 17:51:14)
Copyright (c) 1997-2009 The PHP Group
Zend Engine v2.3.0, Copyright (c) 1998-2009 Zend Technologies

Ok. Fatto! Enjoy

Bookmark It

I vestiti nuovi dell’imperatore…

daniele — Tue, 24 Nov 2009 10:10:34 +0000

Come vedete il mio blog ha un nuovo vestito. Dopo più di un anno di “esistenza” mi sembrava doveroso cambiare qualcosa, migliorare e semplificare alcune funzionalità.

Ora wordpress è all’ultima versione rilasciata e per come è stato studiata la gestione dei moduli e del template sarà possibile tenerlo più o meno sempre aggiornato; Inoltre le parti di “codice” e “comandi” all’interno dei miei post si vedono meglio. Le foto hanno la funzionalità lightbox e spero di aggiungere presto nuovi moduli wordpressiani e (di conseguenza) nuove funzionalità.

Per non dimenticare il viso “passato” del mio amico, ad imperitura memoria, qui ci metto un “santino” del “com’era”…

Il vecchio blog buonanima...

Bookmark It

Bind9 in chroot su Centos 5.4

daniele — Sun, 25 Oct 2009 11:14:25 +0000

Sono in serie positiva, altro giro altra corsa, altro post altro how-to. In queste (poche) righe che seguono, vedremo come installare e configurare un dominio sul popolare DNS Server Bind9 ospitato su una Centos 5.4 (latest release ad oggi) in chroot mode.

L’environment scelto, come detto, è una Centos, ma (a parte i posizionamenti dei files e delle directory che può cambiare, la configurazione di Bind9 è piuttosto generica e quindi, la guida, può essere “traslata” facilmente anche su sistemi “debian-based”.

Non è questo il luogo dove illustreremo le peculiarità e i vantaggi in termini di sicurezza che stanno dietro alla scelta di installare e configurare in modo che sia startato dal sistema in chroot. Googlando un po’ troverete molte guide e manuali che vi possono spiegare tutto ciò.

Come primo passo installeremo i pacchetti necessari utilizzando yum

yum install bind bind-chroot bind-libs bind-utils caching-nameserver

Ad installazione conclusa spostiamoci nella directory /var/named/chroot/etc e cominciamo le configurazioni

cd /var/named/chroot/etc
rndc-confgen > rndc.key
chown root:named rndc.key

Controllate che il file rndc.key appaia così:

# Start of rndc.conf
key "rndckey" {
algorithm hmac-md5;
secret "n0nV8Jd1nbAby8m3yJMmUw==";
};

Non vi occorre nient’altro, quindi potete anche rimuovere le altre righe che troverete nel file.
Date un’occhiata all’interno di /etc: dovreste avere un symlink all’rndc.key. E’ importante che questo symlink esista e dovrebbe essere correttamente creato da yum durante la fase di spacchettamento dell’rpm. Se, tuttavia, così non fosse preoccupatevi di crearlo, perchè poi il demone named si aspetta di trovarlo lì…è bene che non lo deludiate.

Ora configuriamo il file named.conf

// qui includiamo l'rndc.key con un bel copia-incolla
key "rndckey" {
algorithm hmac-md5;
secret "n0nV8Jd1nbAby8m3yJMmUw==";
};

// assumiamo che il nostro dns server abbia l'ip 192.168.13.75
// e serva la subnet 192.168.13.0/24. Ovviamente customizzate in
// base alle vostre esigenze
controls {
inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndckey"; };
inet 192.168.13.75 allow { 192.168.13.0/24; } keys { "rndckey"; };
};

options {
directory "/var/named";
pid-file "/var/run/named/named.pid";

recursion yes;

allow-recursion {
127.0.0.1;
192.168.13.0/24;
};

// inserite i vostri dns server.
// Io ho messo quelli di OpenDns
forwarders {
208.67.222.222;
208.67.220.220;
};

listen-on {
127.0.0.1;
192.168.13.75;
};

/*
* Se avete un firewall fra voi e i nameservers
* che dovete contattare potreste aver bisogno
* di scommentare la direttiva query-source che
* trovate qui sotto. Versioni precedenti di Bind
* facevano sempre query attraverso la porta 53,
* ma da BIND 8.1 viene utilizzata una porta
* non privilegiata (sopra la 1024) di default.
*/
query-source address * port 53;

// questa istruzione è per non rendere pubblica
// la versione di bind utilizzata
version "REFUSED";

allow-query {
127.0.0.1;
192.168.13.0/24;
};
};

server 192.168.13.75 {
keys { rndckey; };
};

zone "." IN {
type hint;
file "named.ca";
};

// Questa è la zona del nostro dominio
zone "example.com" IN {
type master;
file "data/example.com.zone";
allow-update { none; };
// per abilitare il master/slave scommenta sotto
// allow-transfer { 192.168.13.76; };
};

Ok: ora configuriamo la nostra zona. Per farlo creiamo il file /var/named/chroot/var/named/data/example.com.zone. Sarà qualcosa che appare più o meno così:

$ttl 38400
example.com. IN SOA ns.example.com. admin.example.com. (
2009102402 ; Serial
10800 ; Refresh after 3 hours
3600 ; Retry after 1 hour
604800 ; Expire after 1 week
86400 ) ; Minimum TTL of 1 day

example.com. IN NS ns.example.com.
ns.example.com. IN A 192.168.13.75
dns.example.com. IN A 192.168.13.75
server1.example.com. IN A 192.168.13.31
server2.example.com. IN A 192.168.13.38
www.example.com. IN CNAME example.com.

Ovviamente la parte in fondo customizzatela a secondo dei record che volete propagare.
Ok abbiamo finito. Come avete visto è veramente semplice. Ora startiamo named e assicuriamoci che parta al boot

service named start
chkconfig named on

E ora controlliamo che tutto sia startato correttamente dando un colpetto di “rndc status”

# rndc status
number of zones: 1
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
recursive clients: 0/1000
tcp clients: 0/100
server is up and running

Ok è tutto “folks!”. Per essere sicuri che tutto funziona fate qualche query con nslookup o con dig, sia dal server dns che dagli altri server.

Bookmark It