Installare una certificato SSL GeoTrust
Avevo la neccessità di testare il funzionamento di un sito con il certificato SSL, cercando un po’ ho trovato che GeoTrust offre la possibilità di avere gratuitamente un certificato di prova per u
n mese con tutte le funzionalità dei certificati a pagamento.
Per far questo è necessiario registrarsi al loro portale e compilare il form con tutti i dati richiesti ( Nome e Cognome, azienda mail … ).
Possiamo creare nel nostro server linux una cartella /etc/httpd/ssl e in quella cartella, come richiesto, creare una chiave con il comando…
openssl genrsa -des3 -out www.yourdomain-example.com.key 2048
dopo di che creare un certificato CSR utilizzando la chiave creata precedentemente…
openssl req -new -key www.yourdomain-example.com.key -out www.yourdomain-example.com.csr
e compilando tutti i campi richiesti.
A questo punto siamo pronti per dare il CSR a GeoTrust ( facendo un copia e incolla ) e andare avanti con la compilazione dei dati richiesti ( amministratore del sito, contatto tecnico e amministrativo )….alla fine riceveremo una mail per procedere all’attivazione telefonica del certificato.
Una volta che tutto è ok non ci resta che:
- accedere al portale di GeoTrust per scaricare l’ SSLCertificateFile ossia il certificato pubblico SSL del nostro dominio rinominandolo www.yourdomain-example.com.crt e posizionandolo nella cartella /etc/httpd/ssl;
- scaricare la chiave “intermedia” rinominandola in www.yourdomain-example.com.intermedia.crt e posizionandolo nella cartella /etc/httpd/ssl;
- andare a modificare il file di configurazione di apache ( httpd.conf ) andando ad aggiungere la riga :
NameVirtualHost 192.168.101.79:443
- creare un nuovo virtual host per il sito da “certificare” con questa configurazione:
<VirtualHost IP_Server:443>
ServerNamewww.yourdomain-example.com
ServerAlias www.yourdomain-example.com
DocumentRoot /var/www/www.yourdomain-example.com/html
ErrorLog /var/www/www.yourdomain-example.com/logs/error_log<Directory /var/www/www.yourdomain-example.com/html>
DirectoryIndex index.php index.html
AllowOverride all
</Directory>
SSLEngine on
SSLCertificateFile /etc/httpd/ssl/www.yourdomain-example.com.crt
SSLCertificateKeyFile /etc/httpd/ssl/www.yourdomain-example.com.key
SSLCACertificateFile /etc/httpd/ssl/www.yourdomain-example.com_intermedia.crt
</VirtualHost>
- controllare la correttezza della sintassi lanciando il comando:
apachectl configtest
- se tutto ok possiamo procedere con il riavvio del servizio; per eseguire un test del funzionamento è possibile andare alla pagina che GeoCerts mette a disposizione e controllare il corretto funzionamento del certificato.
Due parole sul protocollo HTTPS
HTTPS è un protocollo che “ingloba” il protocollo HTTP in un meccanismo di crittografia di tipo Transport Layer Security (SSL/TLS); questa pratica aumenta di molto il livello di sicurezza a fronte di possibili attacchi del tipo man in the middle.
Diversamente dal protocollo http, che utilizza la porta 80, il protocollo https di default utilizza la porta 443.
Per implementare un web server in modo che accetti connessioni https,deve essere creato un certificato digitale ossia un documento elettronico che associa l’identità di una persona ad una chiave pubblica e impostato il servizio di pubblicazione web in modo che accetti e proceda all’autentificazione.
Questi certificati devono essere rilasciati da un ente certificatore o creati tramite un sistema che accerta la validità dello stesso in modo da definire la vera identità del possessore.
Avevo la neccessità di semplificarmi la vita e avviare una macchina virtuale in un solo gesto…per far questo avevo pensato di utilizzare un batch che mi lancasse il comando vmplayer.exe o vmware.exe ma questo mi lascia aperta un prompt e non mi pareva elegante…quindi ho scritto un piccolo script in vbs.
Sotto trovate lo script, 2 sole righe, semplice e funzionale…basta adattarlo con i path corretti e nel caso cambiare l’icona dello script.
Set wshShell = CreateObject (“wscript.shell”)
wshshell.run “%comspec% /c start C:\Programmi\VMware\vmplayer.exe D:\MacchineVirtuali\WindowsXP\WindowsXP_Test.vmx”
Dopo un giorno dalla pubblicazione dell’articolo sull’abilitazione della funzionalità Server Status di Apache un sito in wordpress non funzionava più… o meglio, funzionava l’home page ma tutte le altre pagine che usavano la rescrittura degli url non erano più visibili.
La cosa strana era che altri cms tipo Joomla funzionava senza alcun tipo di problema.
Cercando un po’ ho trovato questa simpatica pagina quì.
Sembra infatti ci sia una problematica risaputa tra l’utilizzo di Server Status qualora nel server sia presente un sito in wordpress .
Ho provato a seguire passo passo le indicazioni trovate nel web ma queste non sono servite a molto; il problema non si è risolto.
Andando a lavorare un po’ sul file httpd.conf e impostandolo come segue:
ExtendedStatus On
<Location /server-status>
SetHandler server-status
Order deny,allow
Deny from all
Allow from Subnet_o_IP_di chi_esegue_il_controllo_di_Server_Status
</Location>
Ho risolto il problema…Server Status è visibile ed il sito in wordpress funziona correttamente.
Monitorare Apache: Server Status… il modulo MOD_STATUS
Per alcuni problemi su un server web ( ram a quasi il 100% e troppi processi httpd attivi ) ho “scoperto” MOD_STATUS un modulo di Apache che si occupa di far vedere info sulle connessioni esistenti, l’uptime del server, il traffico generato, la CPU impegnata, la versione di Apache e soprattutto l’elenco dei processi attivi e di cosa si stanno occupando.
Per attivare questa direttiva bisogna…
….nel file di configurazione httpd.conf andare a decomentare o inserire qualora non ci sia la riga
LoadModule status_module modules/mod_status.so
…sempre nello stesso file andare a decommentare o inserire qualora non ci siano le seguenti righe…
<Location /server-status>
SetHandler server-status
# Order deny,allow
# Deny from all
# Allow from .example.com
</Location>
ExtendedStatus On
… a questo punto andando a collegarsi alla pagina http://ip_nella_macchina/server-status dovreste trovare una pagina come questa….
IIS problema con il download di file eseguibili e non solo
Mi è di recente capitato che su di un sito sposatato su II7 non funzionasse correttamente la parte di download dei file…
Questa problematica è dovuta da un’impostazione di sicurezza introdotta dalla versione 7 di IIS e che non permette il download di certi tipi di file con estensione potenzialemnte pericolose ( exe, zip, etc. ).
Per sbloccare questa funzionalità per alcuni file o per determinate cartelle basta seguire i passi sotto indicati…
Nel nostro caso ipotiziamo che il sito si chiami consulentiit.wordpress.com, e che la cartella con i file di download sia la cartella consulentiit.wordpress.com/download …
a) Request Path: Indicare path dei file a cui permettere il download (es. “download/*.exe” tutti i file exe nella cartella download); b) Module: StaticFileModule – indica il modo di risoluzione del path sopranindicato ( es. consulentiit.wordpress.com/download/.exe);
c) Executable: non inserire nulla;
d) Name: Inserire un nome alla regola;
FileSystem, monitorare lo spazio occupato
In Linux come in windows è importante tenere sempre sotto controllo lo spazio occupato sul filesystem. Il raggiungimento del 100% dello spazio può portare a problematiche quali il blocco di alcuni servizi o di addirittura tutto il server.
Lo script sottostante permette di controllare periodicamente lo spazio libero e qualora superi una soglia prefissata permette di mandare una comunicazione via mail.
#!/bin/bash
# Script che controlla lo stato del filesystem,
# qualora lo spazio raggiunga il 95% invia una mail
# contenente l’elenco dei filesystem che hanno superato tale soglia
DF=/bin/df
AWK=/usr/bin/awk
MAIL=/bin/mail
MESSAGE_FS=/tmp/mess_filesystem.tmp
$DF -Pk | grep -v Filesystem | $AWK ‘{if (strtonum(substr($5,1,length($5)-1))>25)print($0)}’ > $MESSAGE_FS
echo $MESSAGE_FS
if["'cat $MESSAGE_FS'" != "" ]
date >> $MESSAGE_FS
$MAIL -s “Check ‘hostname’ for out-of-space filesystem” casarin.paolo@gmail.com<$MESSAGE_FS
firm -f $MESSAGE_FS
Si, lo so…esx sta per essere abbandonata….ma a volte mi trovo ancora ad avere a che fare con questo tipo di installazioni.
Cercando di cambiare l’ip direttamente dal VMwareVSphere Client mi veniva restituito un errore del tipo:
“The resource vswif0 is in use”
Questo errore me lo dava anche aggiungendo una nuova consolle e cercando di fare la modifica collegandomi a quella.
Per cambiare l'IP ho quindi dovuto collegarmi direttamente alla console della macchina ( sarebbe stato possibile farlo anche via SSH )controllare che impostazioni di networking corrente utilizzando il comando
esxcfg-vswif -l
poi con il comando
esxcfg-vswif -i 172.20.20.5 -n 255.255.255.0 vswif0
andare a specificare il nuovo IP e la subnet mask da impostare alla Service Console di default (vswif0) .
Acronis dopo clonazione macchina virtuale.
Mi è capitato di clonare una macchina virtuale su VMWARE ESXi con Acronis installto.
Dopo aver fatto tutto a dovere sulla macchina virtuale, cambio nome, cambio SID, cambio ip, cambio licenza…ecc.ecc….. mi sono ritrovato a dover ricollegare la macchina al servizio di gestione Acronis.
Quì si è presentato il problema in quanto mi dice che la macchina è già collegata.
Il punto è che l’ UUID, ovvero l’indentificatore unico che VMware assegna alle virtual machine è lo stesso per entrambe le macchine.
La soluzione alla problematica sta nel cambiare l’ID unico con cui le macchine si presentano all’AMS, l’equivalente del SID nei domini, e la procedura per i sistemi operativi Windows è la seguente:
- fermare il servizio Acronis Managed Machine Service sulla macchina clonata;
- cancellare il contenuto della cartella C:\Documents and Settings\All Users\Application Data\Acronis\BackupAndRecovery\MMS\Instances sui sistemi pre Vista e C:\ProgramData\Acronis\BackupAndRecovery\MMS\Instances su quelli successivi;
- cambiare la chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Acronis\BackupAndRecovery\Settings\MachineManager\ASNCurrentMachineID
( HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Acronis\BackupAndRecovery\Settings\MachineManagerper i 64 bit ) - rifar partire il servizio Acronis Managed Machine Service sulla macchina clonata;
- inserire la macchina clonata nel server di gestione Acronis.
Ecco in vece la procedura da applicare nei sistemi Linux:
- fermare il servizio Acronis Managed Machine Service /etc/init.d/acronis_mms stop
- cambiare l’ID modificando il valore del MMSCurrentMachineID nel file /etc/Acronis/BackupAndRecovery.config
- cannellare il contenuto della cartella instance rm -f /var/lib/Acronis/BackupAndRecovery/MMS/Instances/*
- riaviare il servizio Acronis Managed Machine Service /etc/init.d/acronis_mms start
Acronis: Impossibile eseguire lo snapshot
Mi è capitato ultimamente di imbattermi in un errore di Acronis che avevo già incontrato in passato…quel che è peggio è che non mi ricordavo più come lo avevo risolto….
Il problema si presentava su un server con Acronis 10.x installto il cui backup si interrompeva inizialmente non riuscendo a creare lo snapshot del disco.
Ho trovato che il server aveva MSSQL 2005 installato ma stoppato, tra i servizi installati e fermi c’era ancheil servizio SQL Server VSS Writer.
Avendo impostato che Acronis facesse il backup utilizzando il “Servizio Copia Shadow del volume Microsoft” quando l’operazione di backup trovava dei db si bloccava non trovando a disposizione le API per creare lo snapshot.
Essendo i batabase fermi e quindi no modificabili ho pututo disabilitare questa opzione senza rischiare nulla e i backup hanno cominciato a funzionare senza problemi.
