| View previous topic :: View next topic |
| Author |
Message |
Alberto Santini
Tux's lil' helper
Joined: 03 Jul 2005
Posts: 88
Location: Italy->Sicily->Caltanissetta
|
 Posted: Wed Dec 20, 2006 1:10 am Post subject: [TIP] Controllare il PC ovunque durante le vacanze |
 |
|
Beh... non so a voi, ma a me e' sorta questa necessita', dovendo stare quasi un mese lontano dal PC.
Unica arma a mia disposizione: un portatile con OpenSuSE 10.2 per restare in contatto con l'amato computer che, invece, stara' qui a casa!
Quello che mi serve e' non soltanto un server VNC, ma anche un metodo per poterlo avviare automaticamente ed un altro per sapere sempre che IP ha questa macchina, anche nel caso se ne andasse la corrente e tornasse dopo un po' (il mio pc in questi casi si avvia automagicamente).
Passo 1
Il bootloader
Sembrera' banale, ma se ci scordiamo di dire al nostro BootLoader di caricare Gentoo all'avvio, tutto il resto del lavoro e' inutile.
Quindi, la prima cosa che ho fatto e' stato modificare /etc/lilo.conf in questo modo:
| Code: |
compact
lba32
boot = /dev/sda
map = /boot/map
delay = 10
default = Gentoo
image = /boot/kernel
root = /dev/sda2
label = Gentoo
append = "video=vesafb:mtrr,ywrap,1280x1024-32@75 quiet splash=silent,theme:livecd-2006.1 console=tty1"
read-only
other = /dev/sda1
label = Minix3.1
|
Come si nota non mostro alcun prompt, ma carico direttamente Gentoo, dopo una breve attesa di un secondo (delay = 10) in cui compare la classica scritta "Boot: "
Passo 2
Gli script sh+perl e .netrc
Per ritrovare il mio indirizzo IP pubblico (sono dentro una LAN nattata) ho usato un metodo forse poco ortodosso, ma sicuramente efficace per una situazione d'emergeza come questa (parto fra 4 ore!!): prendere il mio indirizzo IP da http://www.whatismyip.com/
Questo IP viene successivamente estrapolato dalla pagina ed uploaddato in un file su un server ftp. Inoltre, viene memorizzata su un file (una sorta di log) l'orario di esecuzione dello script:
/root/getip.sh
| Code: |
#!/bin/bash
WEB_PAGE_PATH="/tmp/biribi.html"
PERL_SCRIPT_PATH="/root/getip.pl"
IP_FILE_PATH="/etc/public_ip"
LOG_FILE_PATH="/mnt/data/pub/getip.log"
HOME_PATH="/root"
MYIP_URL="http://www.whatismyip.com/"
FTP_HOST="ftp.mio-server.com"
wget -O ${WEB_PAGE_PATH} ${MYIP_URL}
cat ${WEB_PAGE_PATH} | ${PERL_SCRIPT_PATH} > ${IP_FILE_PATH}
HOME="${HOME_PATH}" ftp ${FTP_HOST}
rm ${WEB_PAGE_PATH}
date >> ${LOG_FILE_PATH}
|
La pagina viene scaricata, messa in /tmp/biribi.html, data in pasto ad uno script Perl che scrive l'ip in /etc/public_ip. Questo file viene uploaddato (ora vedremo come) su un server ftp in maniera automatica; successivamente elimino il file temporaneo con la pagina scaricata e segno l'orario di esecuzione.
Innanzitutto vediamo cosa fa lo script Perl:
/root/getip.pl
| Code: |
#!/usr/bin/perl
while(<STDIN>) {
if($_ =~ /\ -\ (.*)<\/TITLE>/) {
$a .= $1 . "\n";
}
}
print $a;
|
Niente di troppo difficile, no? Semplicemente prende dallo STDIN la pagina web, ricava l'IP prendendolo nel <TITLE> e lo stampa.
Per effettuare l'upload del file in automatico ho usato il file
/root/.netrc
| Code: |
machine ftp.mio-server.com
login mio-username
password mia-password
macdef init
put /etc/public_ip path/sul/server
close
quit
|
Questo file viene letto da ftp(1). La sintassi e' abbastanza autoesplicativa. Ricordo soltanto che:
- con "macdef init" definisco la macro che deve venire eseguita appena dopo la connessione
- bisogna lasciare una linea vuota alla fine del file affinche' ftp capisca che la macro e' finita
- .netrc deve avere permessi rwx------ (700)
Faccio notare che bisogna usare la variabile d'ambiente HOME="/root" nel lanciare ftp per rendergli chiaro da dove deve leggere .netrc
Passo 3
Gli script di init
Per concludere lanciamo gli script ed il server VNC all'avvio del sistema e killiamo (il server) alla chiusura;
/etc/conf.d/local.start
| Code: |
/root/getip.sh >/dev/null 2&>/dev/null
su -c "vncserver :1 -geometry 1024x768 -depth 8 -name NomeDesktopRemoto >/dev/null 2>/dev/null" - NomeUtente
|
Una lista dei programmi da eseguire all'avvio del server si trova in $HOME/.vnc/xstartup che altro non e' che lo script (ricordatevi qunidi che dev'essere eseguibile ed iniziare con una magin line del tipo "#!/bin/sh") eseguito da tightvnc allo startup:
/home/NomeUtente/.vnc/xstartup
| Code: |
/usr/kde/3.5/bin/startkde &
|
Infine, al termine del servizio local, chiudiamo il server:
/etc/conf.d/local.stop
| Code: |
su -c "vncserver -kill :1 >/dev/null 2>/dev/null" - NomeUtente
|
Spero che possa essere utile a molti!
Ciao!
Last edited by Alberto Santini on Wed Dec 20, 2006 8:23 am; edited 1 time in total |
|
| Back to top |
|
 |
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Wed Dec 20, 2006 8:16 am Post subject: |
|
|
Non vorrei smontarti ma al posto dell'ip non potresti appoggiarti a noip o dyndns o simili ?
Ammetto di non aver nemmeno guardato la sezione relativa a lilo nella guida ufficiale per l'installazione ma la parte relativa a grub già fa si che linux parta da solo ...
Ovviamente ho abilitato nel bios l'auto accensione quando torna la corrente dopo un blackout (tanto l'ups si preoccupa di non far spegnere malamente il tutto) esattamente come hai fatto tu, altrimenti sarebbe tutto vano.
Quindi riepilogando io ho risolto:
punto 1:ho seguito la guida relativa a grub e all'avvio parte linux
punto 2:mi sono registrato su www.noip.com e ho installato net-dns/noip-updater, l'ho configurato in un attimo e l'ho messo nel runlevel di default
punto 3:io uso solo ssh quindi configurazione ad hoc del servizio
Mi pare che hai trovato un modo per complicarti la vita più che per semplificarla 
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
cloc3
Advocate
Joined: 13 Jan 2004
Posts: 4809
Location: http://www.gentoo-users.org/user/cloc3/
|
| Posted: Wed Dec 20, 2006 4:54 pm Post subject: |
|
|
| Kernel78 wrote: | Non vorrei smontarti ma al posto dell'ip non potresti appoggiarti a noip o dyndns o simili ?
|
Non son d'accordo. La soluzione proposta è alternativa, perchè, utilizzando dyndns uno si attribuisce un nome di dominio, mentre con il fai da te si ottiene un completo anonimato.
Di conseguenza, l'esercizio è utile, anche se qualcuno può preferire soluzioni alternative.
Piuttosto, osserverei che il server locale lo può trovare da sè, il proprio ip, senza chiederlo a chicchessia (tipo whatismyip). Per esempio:
| Code: |
cloc3@s939 ~ $ /sbin/ifconfig |grep P-t-P
inet addr:87.15.236.120 P-t-P:192.168.100.1 Mask:255.255.255.255
|
| Kernel78 wrote: |
punto 1:ho seguito la guida relativa a grub e all'avvio parte linux
...
punto 3:io uso solo ssh quindi configurazione ad hoc del servizio
|
quoto.
Tra l'altro, prima di usare vnc via remoto ci penserei tre volte e studierei a lungo l'aspetto sicurezza. Se non sbaglio, vnc è compresso ma non è criptato, come ssh, e dunque lo utilizzerei solo per una rete locale.
_________________
vu vu vu
gentù
mi piaci tu |
|
| Back to top |
|
|
flocchini
Veteran
Joined: 17 May 2003
Posts: 1124
Location: Milano, Italy
|
| Posted: Wed Dec 20, 2006 6:28 pm Post subject: |
|
|
[quote="cloc3"]
Piuttosto, osserverei che il server locale lo può trovare da sè, il proprio ip, senza chiederlo a chicchessia (tipo whatismyip). Per esempio:
| Code: |
cloc3@s939 ~ $ /sbin/ifconfig |grep P-t-P
inet addr:87.15.236.120 P-t-P:192.168.100.1 Mask:255.255.255.255
|
e' in una lan... gli serve il suo ip pubblico 
_________________
~~ Per amore della rosa si sopportano le spine... ~~ |
|
| Back to top |
|
|
cloc3
Advocate
Joined: 13 Jan 2004
Posts: 4809
Location: http://www.gentoo-users.org/user/cloc3/
|
| Posted: Wed Dec 20, 2006 7:39 pm Post subject: |
|
|
| flocchini wrote: |
e' in una lan... gli serve il suo ip pubblico |
| Alberto Santini wrote: |
per restare in contatto con l'amato computer che, invece, stara' qui a casa!
|
bu. magari (se lo vuole) ci dirà di persona come stanno le cose da lui.
_________________
vu vu vu
gentù
mi piaci tu |
|
| Back to top |
|
|
Onip
Advocate
Joined: 02 Sep 2004
Posts: 2912
Location: Parma (Italy)
|
| Posted: Wed Dec 20, 2006 8:51 pm Post subject: |
|
|
| cloc3 wrote: | | bu. magari (se lo vuole) ci dirà di persona come stanno le cose da lui. |
| Alberto Santini wrote: | | Per ritrovare il mio indirizzo IP pubblico (sono dentro una LAN nattata) |
eh eh eh
Più che altro io porrei l'attenzione sul mese di vacanza, beato lui....
Byez
_________________
Linux Registered User n. 373835
Titus Lucretius Carus, De Rerum Natura - Tantum religio potuit suadere malorum |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Thu Dec 21, 2006 6:43 am Post subject: |
|
|
| cloc3 wrote: | | Kernel78 wrote: | Non vorrei smontarti ma al posto dell'ip non potresti appoggiarti a noip o dyndns o simili ?
|
Non son d'accordo. La soluzione proposta è alternativa, perchè, utilizzando dyndns uno si attribuisce un nome di dominio, mentre con il fai da te si ottiene un completo anonimato.
|
A parte il fatto che se tu non dici a nessuno che hai impostato la tua macchina per rispondere al nome pincopallinoilgrandeconquistatore78.no-ip.org voglio proprio vedere come fanno a indovinarlo ... la probabilità di venir bersagliati su un ip pubblico invece sono maggiori di diversi ordini di grandezza, basta pensare ai vari bot che scannano ip su ip alla traccia di password semplici o di vulnerabilità conosciute.
A conti fatti quindi il "completo anonimato" dell'ip pubblico ti espone sempre e cmq ad attacchi di tutti i tipi mentre l'uso di un nome non aumenta nemmeno di 1 gli attacchi che ricevi (sempre che ti tieni il nome per te) e ti semplifica la vita in quanto a te basta ricordarti sempre e solo un nome e poi sarà il pc a tenerlo aggiornato.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Thu Dec 21, 2006 2:15 pm Post subject: |
|
|
In realtà ci sono IMHO tutta una serie di casi in cui poter cambiare ip semplicemente resettando il router è comodo... 
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Thu Dec 21, 2006 2:21 pm Post subject: |
|
|
| Cazzantonio wrote: | | In realtà ci sono IMHO tutta una serie di casi in cui poter cambiare ip semplicemente resettando il router è comodo... |
Nessuno ti vieta di resettare il router e cambiare ip (ovviamente se sei tra i fortunati con ip dinamico  ).
Resta il fatto che associare dinamicamente un nome (che solo tu conosci) all'indirizzo ip pubblico è una grande comodità ...
Se volessi condividere con noi tutta (o in parte) la serie di casi ai quali pensi potresti aiutare anche noi a valutarli, altrimenti ottieni solo di incrementare il tuo contatore di messaggi senza apportare nulla di significativo alla discussione.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
GiRa
l33t
Joined: 07 Apr 2005
Posts: 717
|
| Posted: Sun Dec 24, 2006 11:28 am Post subject: |
|
|
| Io NON metterei il VNC in ascolto su porta pubblica. Metti in ascolto solo SSH e vai di tunnel. |
|
| Back to top |
|
|
Alberto Santini
Tux's lil' helper
Joined: 03 Jul 2005
Posts: 88
Location: Italy->Sicily->Caltanissetta
|
| Posted: Mon Dec 25, 2006 7:56 pm Post subject: |
|
|
Ragazzi... prima di tutto chiariamo che io NON ho paranoie su intercettazioni, maligni attaccanti oscuri tredicenni che da dietro il loro montarozzo di hamburgher e lattine di coca cola tramano per ottenere il controllo del mio pc! Detto questo, non hovoluto utilizzare dyndns o no-ip per altri problemi avuti in passato (ovvero, i DNS venivano aggiornati 3-4 ore dopo)... dal momento che dispongo di un server FTP on-line H24 e di un nome di dominio, ho preferito fare l'upload del mio indirizzo su quel server...
BUONE VACANZE a tutti!  |
|
| Back to top |
|
|
cloc3
Advocate
Joined: 13 Jan 2004
Posts: 4809
Location: http://www.gentoo-users.org/user/cloc3/
|
| Posted: Mon Dec 25, 2006 9:00 pm Post subject: |
|
|
| Alberto Santini wrote: | | Ragazzi... prima di tutto chiariamo che io NON ho paranoie su intercettazioni ... |
se scrivi un howto ne devi tener conto, perché la trasmissione in chiaro di una intera sessione è un invito a nozze con servizio al tavolo degli sposi.
almeno inquadra il problema sicurezza mettendo chiaramente sull'avviso chi legge.
_________________
vu vu vu
gentù
mi piaci tu |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Mon Dec 25, 2006 10:49 pm Post subject: |
|
|
| Alberto Santini wrote: | Ragazzi... prima di tutto chiariamo che io NON ho paranoie su intercettazioni, maligni attaccanti oscuri tredicenni che da dietro il loro montarozzo di hamburgher e lattine di coca cola tramano per ottenere il controllo del mio pc!
|
Nemmeno io ho queste paranoie ma ogni giorno vedo i log della mia macchina riempirsi di tentativi (infruttuosi) di accedere tramite coppie di username/password a ssh, sui server dell'ufficio vedo i log di diversi tentativi di accesso sfruttando vulnerabilità note e su un server che non mi hanno lasciato aggiornare è stata sfruttata una vulnerabilità di postgres per trasformare quel server in un sparaspam ...
Al mondo ci saranno una dozzina di adolescenti che provano a entrare in sistemi a caso ma ci sono milioni di script che scansionano internet alla ricerca di macchine da poter infettare e sfruttare ...
Questo è un pericolo concreto e usare vnc su internet non è il modo migliore per evitarlo.
| Quote: |
Detto questo, non hovoluto utilizzare dyndns o no-ip per altri problemi avuti in passato (ovvero, i DNS venivano aggiornati 3-4 ore dopo)...
|
 ammazza che jella ...
uso noip da diversi anni e non ho mai avuto nessun problema, in una manciata di minuti al massimo il mio nome era sempre raggiungibile ...
Si può sapere che servizio usavi ? o hai avuto lo stesso problema con più servizi ?
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
GiRa
l33t
Joined: 07 Apr 2005
Posts: 717
|
| Posted: Wed Dec 27, 2006 2:36 pm Post subject: |
|
|
| Alberto Santini wrote: | | Ragazzi... prima di tutto chiariamo che io NON ho paranoie su intercettazioni... |
Non è questione di essere paranoici ma di essere realisti.
Ci sono in giro un sacco di ignoranti che hanno script che scansionanno e fan tentativi di intrusione. È un fatto.
| Quote: | | Detto questo, non hovoluto utilizzare dyndns o no-ip per altri problemi avuti in passato (ovvero, i DNS venivano aggiornati 3-4 ore dopo)... dal momento che dispongo di un server FTP on-line H24 e di un nome di dominio, ho preferito fare l'upload del mio indirizzo su quel server... |
Beh la questione dei DNS dinamici dipende dalla configurazione del client che usi.... |
|
| Back to top |
|
|
power83
l33t
Joined: 28 Nov 2004
Posts: 638
|
| Posted: Tue Jan 02, 2007 5:27 pm Post subject: |
|
|
| cloc3 wrote: | | Alberto Santini wrote: | | Ragazzi... prima di tutto chiariamo che io NON ho paranoie su intercettazioni ... |
se scrivi un howto ne devi tener conto, perché la trasmissione in chiaro di una intera sessione è un invito a nozze con servizio al tavolo degli sposi.
almeno inquadra il problema sicurezza mettendo chiaramente sull'avviso chi legge. |
scusa e come farebbero a recuperare informazioni da tale connessione? |
|
| Back to top |
|
|
cloc3
Advocate
Joined: 13 Jan 2004
Posts: 4809
Location: http://www.gentoo-users.org/user/cloc3/
|
| Posted: Tue Jan 02, 2007 8:20 pm Post subject: |
|
|
| power83 wrote: |
scusa e come farebbero a recuperare informazioni da tale connessione? |
Non sono esperto nel settore, ma immagino che non sia assolutamente difficile, per un cracker, intercettare un pacchetto diretto ad una macchina terza.
Se questo pacchetto contiene dati in chiaro, dovrebbe essere facile (per chi lo sa fare), riprodurlo per sostituire la propria macchina con quella dell'utente remoto, prendendo il controllo totale della sessione.
Se sto dicendo cose di fantascienza, ditemelo pure, che ci faccio una risata. Rimane il fatto che, su internet, aprire una sessione remota è un'operazione da fare con gli strumenti generalmente consigliati in letteratura, cioè ssh.
Per rafforzare il concetto, si legga la wikipedia inglese di realVnc.
_________________
vu vu vu
gentù
mi piaci tu |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Tue Jan 02, 2007 8:53 pm Post subject: |
|
|
| power83 wrote: | | cloc3 wrote: | | Alberto Santini wrote: | | Ragazzi... prima di tutto chiariamo che io NON ho paranoie su intercettazioni ... |
se scrivi un howto ne devi tener conto, perch� la trasmissione in chiaro di una intera sessione � un invito a nozze con servizio al tavolo degli sposi.
almeno inquadra il problema sicurezza mettendo chiaramente sull'avviso chi legge. |
scusa e come farebbero a recuperare informazioni da tale connessione? |
A meno che tu non abbia una connessione diretta tra la tua macchina e ogni server che vai a visitare tutte le inrmazioni passano attraverso molti altri server, se uno di questi venisse bucato e ci si installasse uno sniffer tutto il traffico in chiaro che passasse da li sarebbe tranquillamente alla portata di malintenzionati.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
|
Forum italiano (Italian) 
